Dedizierte IP ab dem ersten SSL-Zertifikat

Als Systemadministrator bei einem ISP wird das ein- oder andere Mal auch ein SSL-Zertifikat benötigt. Auf den meisten Webservern werden mehrere Domains gehostet — alles andere würde Mecker vom RIPE geben. Aber was macht man wenn ein Kunde ein SSL-Zertifikat haben möchte?

Solange es kein sogenanntes Wildcard-Zertifikat *.example.com ist sollte man konsequenterweise schon beim ersten SSL-Zertifikat hierfür eine eigene IP-Adresse zur Verfügung stellen. Wieso das?

Angenommen, auf dem Server sind die Domains www.example.com und www.example.org gehostet, für verschiedene Kunden oder Projekte. Nun konfiguriert man den Webserver so, daß der HTTPS-VHost für www.example.com auf der einzigen IP-Adresse des Servers läuft. Soweit ist alles klar, http://www.example.org funktioniert weiter, und http://www.example.com genauso wie https://www.example.com. Aber jetzt kommt das, was manchen Kunden überrascht. Ruft man jetzt https://www.example.org auf, landet man nach einer Sicherheitswarnung auf der Webseite von example.com – denn HTTPS unterstützt keine Name-Based Virtual Hosts, weil die SSL-Aushandlung vor der möglichen Übertragung eines Servernamens erfolgt.

Deshalb, um Verwirrung und Ärger zu vermeiden, sollte man gleich für https://www.example.com eine dedizierte IP-Adresse vergeben.

Leave a Reply