Flere SSL certifikater på en enkelt IP-adresse

Efterspørgslen efter SSL sikkerhed er stigende, dog falder det antal tilgængelige IP-adresser. Derfor beskriver vi et antal løsninger til at sikre flere domænenavne på et enkelt IP-adresse.

Hver enkelte SSL certifikat skal bruge en unikt IP-adresse. Der er færre og færre IPv4 adresser tilgængeligt, og IPv6 er som efterfølger ikke endnu et godt alternativ. Mange hjemmesider bruger derfor Name Based Hosting til at kunne hoste på det samme IP-adresse. Identificering af den rigtige hjemmeside foregår igennem navnet i Host headeren. Da dannelsen af SSL forbindelsen sker tidligere i forløbet, skal alle domænenavne på det samme IP-adresse i denne situation bruge det samme certifikat.

Server Name Indication (SNI)

SNI er en teknik, som kan bruges på en server, så det kræver ikke et bestemt SSL-certifikat.

Server Name Indication er en udvidelse af SSL og TLS som har været tilgængeligt siden 2003. I starten af handshake processen, angiver SNI den hostnavn browseren ønsker at danne forbindelse til. Dette gør det muligt for browseren at præsentere flere forskellige certifikater. SNI bliver ikke brugt særlig meget endnu fordi teknikken ikke bliver understøttet af nogle ældre browsere/systemer. Hvis man derfor udelukkende brugte SNI, ville man ikke kunne besøges af cirka 15% af brugerne.

Multidomæne certifikat (MDC)

Det kan man optage op til hundred domænenavne per certifikat. Fordelen ved at bruge et MDC er at det kan fås til alle slags valideringsniveauer, og at det virker på alle browsere så alle brugere kan komme på hjemmesiden. Der er dog nogle situationer som MDC ikke er egnet til:

  • Hvert domænenavn bliver optaget i certifikatet og er derfor synligt. Hvis, for eksempel hjemmeside A, B og C deler en MDC, så vil besøgende på hjemmeside A også kunne se navnene på domænerne B og C hvis kigger inde i selve certifikatet.
  • Det er kun muligt at optage 1 virksomhedsnavn i certifikatet. Til certifikater som inkluderer virksomhedsdata (Virksomheds- og Udvidet validering) betyder dette også at alle domænenavne skal være ejet af den samme person.

Kombinationen

Ved at kombinere brug af SNI med et MDC, er det muligt at bruge flere certifikater på en enkelt IP-adresse, mens de stadig er tilgængelige til browsere uden SNI understøttelse. På det nuværende tidspunkt er denne kombination muligt på Apache og NginX servere. Det fungerer således:

  • Hver hjemmeside bliver forsynet med et eget SSL certifikat. Dette muliggør at, for eksempel hjemmeside A bruger et Sectigo EV certifikat med synlige virksomhedsdata, og at hjemmeside B bruger et Thawte wildcard.
  • For gøre at hjemmesiderne stadig er tilgængeligt til browsere(systemer som ikke understøtter SNI, bliver der brugt et multidomæne certifikat uden virksomhedsdata. Dette certifikat indeholder informationen af serveradministratoren i emne feltet, og en Subject Alternative Name til hver SSL-sikrede hjemmeside på IP-adressen. Besøgere uden SNI understøttelse kan derfor også bruge en sikker forbindelse.

Anmod om MDC

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.

point up