單一 IP 對多個 SSL 網站的問題

https SSL

還在 windown XP 的時代,用 SSL 證書的人少,IPv4 的數量也多,所以安裝 SSL 證書都會要求一個獨立 IP 只能安裝一個網站證書,早期的觀念是這樣沒錯。

但隨著時間的演變 IPv4 的數量越來越少,從 2007 年 開始 OpenSSL 0.9.8 開始支援 SNI (Server Name Indication) 技術,瀏覽器也開始支援 SNI 技術,SSL 數位憑證就不是獨立 IP 的專利了,IPv4 開始可以一個 IP 放數個 SSL 數位憑證。

IPv4 在現在缺少、吃緊的時代,這樣的好處是可以省下大量的 IPv4 及金錢。

目前常用可支援 SNI 此技術的瀏覽器:

  • Internet Explorer 7 或更高版本 (XP 上的 IE 任何版本均不支援)
  • Mozilla Firefox 2.0 或更高版本
  • Opera 8.0 (2005) 或更高版本
  • Google Chrome 6 或更高的版本
  • Safari 3.0 或更高的版本

還有更多支援的瀏覽器,可以查閱這裡:https://en.wikipedia.org/wiki/Server_Name_Indication

以服務器來說,下面的作業系統上就啟用了 SNI:

  • OpenSuSE Linux 11.3 或之後的版本。
  • Ubuntu Linux 10.4 或之後的版本。
  • Debian Linux 6.0 或之後的版本。
  • RedHat Linux 6.0 或之後的版本。
  • CentOS 5.0 或更新版本

所以真正會影響 SSL 數位憑證網站的瀏覽,只有 XP 系統上的 IE 瀏覽器,以目前來看,還有使用 windown XP 骨董級的使用者,應該不多了。

但是要注意的,當支持 SNI 時,分配一個 SSL 證書給一個託管於共用 IP 位址上的網站,將會把證書與託管於同一個 IP 位址上的所有其他網站建立關聯。

也就是說,使用 Qualys 檢查安全等級時,會看到同一個 IP 上的第二個網站的 SSL 數位證書。

ssl 數位證書檢查

多個網站的 SSL 數位憑證,都在同一個 IP 上,這樣會不會影響到網站的安全性,答案是不會有影響的,也不會影響到網站的 SEO。

有關 SSL 數位憑證的觀念、原理:http://www.netadmin.com.tw/article_content.aspx?sn=1106140008

如果要堅持一個 SSL 數位證書用在單一個 IPv4 上,就要另外跟主機服務商購買,有的額外付費就可以,有的要提出購買需求說明,主機商才會多賣給你一個額外的 IP,例如 Linode 就需要提出說明。

最好的需求說明當然就是網站上安裝 SSL 數位證書的理由:

I plan to host 2-3 website on this Linode server and I want to assign different IP addresses for them to gain a better effect of SEO and install SSL certificate, hope this could be the suitable justification to comply with RIPE Guidelines.

Linode 回給我的信件:

Thank you for reaching out to us.
A dedicated IP address has no effect on SEO, however, we can still look into providing this IP for you.
Can you please confirm that the SSL certificate will be commercially signed and installed within 14 days of receiving the new IP address?

We will check back in 14 days to ensure that a commercially signed SSL certificate has been put in place. If you do place this certificate and have an opportunity to update us, please do and we will be happy to verify that for you. If you have any questions, please let us know.

意思是說,單獨 IP 是對 SEO 是沒有幫助的,但因安裝 SSL certificate 的理由是可以給我一個 IP,必須在 14 天之內安裝好 SSL certificate。14 天之後如果沒有通過 Linode 的檢查,會回收這個 IP。

在下篇,會說明在 Linode 後台如何設置第 2 個 IP 在你的 VPS 主機上。



Sending
User Rating 5 (7 votes)

2 Comments

  1. zpppdog 十二月 4, 2016

Leave a Reply

Sending