Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate f. StartSSL

Dieses Thema im Forum "Fragen zu Howtos" wurde erstellt von Dirk67, 12. Feb. 2013.

  1. Dirk67

    Dirk67 Member

    ich habe eine generelle Frage, da auch die Mögliche Verwendung der class2 Zertifikate von startSSL in dem Tutorial angesprochen wird:

    ist es generell möglich, ein Wildcard Zertifikat, wie es offensichtlich das "StartSSL™ Verified" eines ist ( --> StartSSL ),
    für mehrere Domains und/oder Subdomains auf einer einzigen / der selben Server-IP zu nutzen ?
    ich dachte bisher immer: (nur) ein SSL-Zertifikat (und eine website) pro IP (?)
    Im ISPConfig3-Manual steht ja auch z.B. mehrfach der Satz:
    "Please note that you can have only one SSL web site per IP address"

    Was ist in diesem Zusammenhang mit dem Ausdruck
    gemeint, den man in der "StartSSL™ Verified" Produktinformation findet ?


    [edit] hab hier noch etwas gefunden:
    --> http://faq.hosteurope.de/index.php?cpid=18090

    --> http://www.udo-telaar.de/mehrere-ssl-zertifikate-auf-einem-server-einer-ip/
    (hilft mir aber auch nicht so recht weiter)




    (die Frage bezieht sich auf Squeeze / nginx / ISPConfig3 gemäß --> http://www.howtoforge.de/uncategori...ebian-6-0-mit-bind-dovecot-nginx-ispconfig-3/ )
     
    Zuletzt bearbeitet: 13. Feb. 2013
  2. nowayback

    nowayback Well-Known Member

    hi,

    Das ist nicht korrekt... das Zauberwort heißt: SNI

    Ich habe selbst auch mehrere Seiten mit der selben IP und SSL Zertifikaten laufen - ohne Probleme.
    Probleme können in diesem Zusammenhang nur Asbach-Uraltbrowser machen - jedoch hat man dann weit größere Probleme als ne SSL Seite die nicht aufgerufen werden kann (is meine Meinung)

    Wie sich das bei Wildcard-Zertifiakten verhält, kann ich dir leider nicht aus eigener Erfahrung sagen, jedoch dürfte das auch kein Problem sein.

    Grüße
    nwb
     
  3. Dirk67

    Dirk67 Member

    OK, Danke,
    SNI also
    werde ich mich mal mit beschäftigen.
    scheint auf den ersten Blick unter ngingx recht einfach zu sein:
    --> Configuring HTTPS servers

    Wie ist dann aber dieser Satz in der ISPConfig3 Doku zu verstehen:
    oder bezieht sich das nur auf das, was über die Admin Oberfläche möglich ist ?
    d.h. wenn ich es "zu Fuß" machen würde, ginge es auch mit einem System auf dem ISPConfig3 läuft ?
     
  4. nowayback

    nowayback Well-Known Member

    hi,

    ich kann dir nicht sagen, auf was sich der satz bezieht... Wenn du in Ispconfig 10 seiten einrichtest und allen die gleiche ip zuweist (nicht *) und danach bei allen seiten ein ssl zertifikat über ispconfig einspielst funktioniert es bei allen 10 seiten.

    Grüße
    nwb
     
  5. Till

    Till Administrator

    Das geht auch in ispconfig und nennt sich sni. Du musst da also nichts zu fuß machen.

    Der Satz bezieht sich auf das "klassische" SSL das mit allen Browsern funktioniert, also ohne sni. Denn ob Du sni ernsthaft verwenden kannst hängt davon ab ob Du auschließen kannst dass einer der Besicher Deiner webseite einen alten Browser insbesondere IE verwendet. Sowas ausschließen lann man an sich nur bei internen Firmennetzen bei denen der Administrator sicherstellen kann dass keine älteren Browser mehr installiert sind.

    Du siehst also das Ganze hat mit ISPConfig selbst wenig zu tun sondern mit der installierten apache und openssl version sowie mit den clients die darauf zugreifen.
     
  6. nowayback

    nowayback Well-Known Member

    hi,

    lt. Server Name Indication betrifft das wirklich nur asbach uralt browser - wie ich übrigends weiter oben auch schon geschrieben habe. Wer solche browser noch immer einsetzt hat nen massives sicherheitsproblem und sollte sich damit besser gar nicht ins internet trauen. Wenn solche leute ne ssl seite aufrufen wollen, ist das falsches vertrauen aufbauen...

    Grüße
    nwb
     
  7. Till

    Till Administrator

    Es trifft alle IE's von WinXP und das gibt es halt noch häufiger und zwar gerade bei Leuten die sich nicht so gut mit Computern auskennen, solange der PC noch funktioniert und Google anzeigt wird kein neuer gekauft ;) Wenn Du dann sni verwendest und sie auf einer falschen Seite ankommen, also nicht in shop A wo sie auf Bestellen geklickt haben sondern in Shop B nur weil dessen domain vor shop A im Alphabet kommt, dann ist das für den Shopbetreiber geschäftsschädigend. Also meine Kunden würden mir aufs Dach steigen wenn ich deren Kunden an andere shops "weiterleiten" würde oder die Bestellfunktion für diese Kunden nicht erreichbar wäre um eine IP zu sparen.
     
  8. Dirk67

    Dirk67 Member

    erst mal vielen dank für Eure Antworten,
    ihr habt mir schon mal sehr weiter geholfen.
    das ist leider richtig (also auch die neuesten IE's welche noch unter WinXP laufen -> also auch IE7 und IE8).
    man kann es auch hier testen.

    https://alice.sni.velox.ch

    IP's v4 bekommt man ja nicht mehr so leicht heutzutage ...
     
    Zuletzt bearbeitet: 14. Feb. 2013

Diese Seite empfehlen