这是一个创建于 3616 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在一台机子上跑Nginx,多个域名,每个域名一个证书,证书是颁发给域名的,又不是颁发给IP的,为什么SSL需要独立IP?
是不是因为SNI。TLS 握手发生在HTTP Header被发送之前,所以不支持SNI的浏览器访问某个跑着多个站的Web Server时,Server就不知道提供哪个证书了,是这样吗?
还有个问题,昨天访问某个网站。发现证书是颁发给xxxx.cloudflare.com,但是浏览器却没有错误提示。这是怎么回事呢?
是不是因为SNI。TLS 握手发生在HTTP Header被发送之前,所以不支持SNI的浏览器访问某个跑着多个站的Web Server时,Server就不知道提供哪个证书了,是这样吗?
还有个问题,昨天访问某个网站。发现证书是颁发给xxxx.cloudflare.com,但是浏览器却没有错误提示。这是怎么回事呢?
 |
1
orvice 2014-12-28 20:22:14 +08:00
lz你都说SNI了。。。。
|
 |
2
shiny 2014-12-28 20:25:24 +08:00
 cloudflare 的福利,注意上面有多个域名 |
 |
3
wy315700 2014-12-28 20:26:43 +08:00
SSL握手在HTTP之前,所以服务器不知道你要访问哪个域名,所以就只能凭IP来提供证书
|
 |
4
cevincheung 2014-12-28 20:29:22 +08:00
nginx的话,重新编译,并且加入参数--with-openssl-opt="enable-tlsext"即可。
|
 |
5
Starduster 2014-12-28 20:40:56 +08:00  1
因为 SSL 是上古时期的协议,TLS 上世纪末就出现了,也就是现在基本都支持 SNI ,不过说起来为什么 SNI 没成为默认的设置我也比较奇怪
|
 |
6
pfitseng 2014-12-28 21:04:22 +08:00 via Android
一个IP只有一个80口,你一个域名对应一个IP那要不要sni无所谓,可惜ipv4终有尽 。
|
 |
7
tumutanzi 2014-12-28 21:08:15 +08:00
SSL越来越火了?我用好几年了~我的主机的确是用了独立IP。
|
 |
8
geekzu 2014-12-28 22:17:56 +08:00 via Android
cf用的是ecc证书,多域
|
 |
11
msg7086 2014-12-29 00:43:42 +08:00
1. 自问自答。
2. 一个IP在没有SNI支持的情况下只能提供「1张证书」。 如果你1个域名1张证书,没有SNI就只能多IP。 另外SNI本身会暴露你正在访问的地址。也就是说,可能会被一些不特定多数防火墙所监控。 |
 |
12
mornlight 2014-12-29 00:47:55 +08:00
没懂楼主意思,SSL什么情况下必须独立 IP?
|
 |
13
Slienc7 2014-12-29 01:03:50 +08:00
注意sni对windowsxp有不兼容
cf用的是多域名证书 独立IP是保证安全性,以前ssl还是高端产品,谁会在意是不是独立IP? ssl不是装饰品,是为了保证安全性。很多用sni都是主机商,ssl私钥什么的全给主机商了,那不是骗用户么?就是个绿色logo好看? |
Select Language