Meerdere SSL-certificaten op een enkel IP-adres hosten

Meerdere SSL-certificaten op een enkel
IP-adres hosten
De oplossing voor het tekort aan IPv4-adressen
Hostingbedrijven ondervinden steeds meer problemen met
SSL-beveiliging doordat het aantal beschikbare IP-adressen beperkt
is. Ieder digitaal certificaat gebruikt voor een SSL-verbinding op een
webserver heeft vandaag een toegewezen IP-adres nodig. Daardoor
kunnen hostingbedrijven steeds moeilijker beantwoorden aan de
stijgende vraag naar beveiliging.
GlobalSign heeft een oplossing ontwikkeld voor de operationele
beperkingen waarmee hostingbedrijven te maken hebben. Met
deze oplossing kunnen ze meerdere certificaten hosten op een
enkel IP-adres, zonder compatibiliteitsproblemen met de browser
en het besturingssysteem.
Hostheaders
Om het huidige tekort aan IPv4-adressen op te lossen, zijn de
meeste websites geconfigureerd als op naam gebaseerde virtuele
hosts. Wanneer meerdere websites hetzelfde IP-nummer delen,
selecteert de server de website die moet worden weergegeven op
basis van de naam in de hostheader.
Helaas maakt dit SSL-beveiliging onmogelijk, omdat de SSL-handshake plaatsvindt voordat de client de eerste HTTP-aanvraag met
daarin de hostheader uitvoert.
De rol van Server Name Indication
Server Name Indication (SNI), een uitbreiding van het TLS-protocol,
is al sinds 2003 beschikbaar hiervoor. Dit betekent dat de hostnaam
van de server wordt opgenomen in de SSL-handshake, zodat de
server het overeenkomstige SSL-certificaat voor de website kan
selecteren.
De workflow verloopt in dit geval als volgt :
De echte oplossing
Door SNI-technologie (Server Name Indication) te koppelen aan
SSL-certificaten en een CloudSSL-certificaat van GlobalSign, kunt u
nu meerdere certificaten hosten op een enkel IP-adres, zonder
potentiële bezoekers zonder SNI-ondersteuning de toegang te
ontzeggen.
GlobalSign SSL-certificaten kunnen worden geïnstalleerd op
meerdere op naam gebaseerde virtuele hosts voor elke op SNI
gebaseerde https-website. Elke website heeft zijn eigen certificaat,
wat zelfs de hoogste beveiligingsniveaus mogelijk maakt (zoals
Extended Validation-certificaten).
GlobalSign voorziet een gratis CloudSSL-certificaat waarop verouderde configuraties kunnen terugvallen, zodat de 15% van de
bezoekers zonder SNI-ondersteuning toch toegang krijgen tot de
beveiligde websites op dat IP-adres. Het CloudSSL-certificaat bevat
de gegevens van de serverbeheerder in het onderwerp en een
Subject Alternative Name voor elk met SSL beveiligde website op
het IP-nummer.
Dit proces kan volledig worden geautomatiseerd met deze unieke
toepassing van GlobalSign. Na een eenmalige configuratie wordt
het CloudSSL-certificaat automatisch aangemaakt, geïnstalleerd,
gevalideerd en bijgewerkt wanneer nieuwe websites moeten
worden toegevoegd of verwijderd. De toepassing is al beschikbaar
voor alle Apache- en NGINX-webservers en voor aangepaste
installaties.
De belangrijkste voordelen
Oplossing voor het tekort aan IP-adressen – Meerdere SSL-certificaten op een enkel IP-adres hosten
Volledig geautomatiseerd proces – Eenmalige configuratie,
onafhankelijk van het bedieningspaneel
Volledig compatibel – Inclusief verouderde configuraties die
standaard geen SNI ondersteunen
Eenvoudig te installeren SSL-certificaten – Geen DNS-wijzigingen
nodig
Garantie op maximale opbrengst – Overwint de beperkingen
voor de massale implementatie van SSL-beveiliging
Beschikbaar voor:
In de praktijk werd deze uitbreiding echter heel traag toegepast en
een aantal systemen bieden hier standaard geen ondersteuning
voor, zoals:
- Internet Explorer (elke versie) voor Windows XP
- Internet Explorer 6 of lager
- Safari voor Windows XP
- BlackBerry Browser
- Windows Mobile 6.5 of lager
- Standaard Android-browser voor Android 2.x
(Zie http://en.wikipedia.org/wiki/Server_Name_Indication voor de
volledige lijst)
Verdere informatie over onze SNI/CloudSSL-oplossing vindt u op:
www.globalsign.com/nl-nl/ip/