2 SSL-Zertifikate?

7

Ich verbringe nur Ewigkeiten damit, alle statischen Inhalte in eine Cookiless-Domain zu verschieben, um die Leistung zu verbessern. Es scheint großartig zu funktionieren! Ich dachte jedoch, wenn ich SSL auf meiner Hauptseite installiere, muss ich dann auch SSL auf meiner Cookieless-Domain kaufen, um Warnmeldungen zu stoppen?

Tom Gullen
quelle

Antworten:

4

Ja. Es gibt zwei Möglichkeiten, wie Sie dies tun können:

  1. Erhalten Sie zwei SSL-Zertifikate: eines für die Hauptdomäne und eines für die Domäne ohne Cookies. Dies ist der billigere Weg, erfordert jedoch auch die Pflege von zwei SSL-Zertifikaten.

  2. Holen Sie sich ein Wildcard-SSL-Zertifikat und verwenden Sie es für die Hauptdomäne und die Cookieless-Subdomain. (Offensichtlich muss sich Ihr statischer Inhalt in einer Subdomain der Hauptwebsite befinden.) Dies ist teurer, erfordert jedoch nur die Verwaltung eines SSL-Zertifikats und ermöglicht, dass auch zukünftige Subdomains sicher sind.

John Conde
quelle
1
Für 2 SSL-Zertifikate sind außerdem 2 IPs erforderlich. Andernfalls muss eines der Zertifikate an eine andere IP gebunden werden (da nur 1 Zertifikat pro IP: Port-Paar zulässig ist, da das HTTP-Protokoll aktiviert wird, nachdem bereits eine sichere Verbindung hergestellt wurde TBH Es gibt einige Technologien, mit denen Sie mehrere Zertifikate auf demselben IP: Port haben können, aber nicht jeder Webserver / Browser unterstützt sie. Ich empfehle, Wildcard-Weg zu gehen.
LazyOne
1
Doh .. kleine Korrektur: "oder eines der Zertifikate müsste an einen anderen PORT gebunden werden " .
LazyOne
@Tom Wenn Sie nur 2 Domänen sichern möchten: www und static (zum Beispiel), dann gibt es keine Probleme mit 2 Zertifikaten - static kann leicht an 444 oder einen anderen Port gebunden werden - Sie müssen lediglich die Portnummer in die URL einfügen https://static.example.com/logo.png. Das einzig mögliche Problem hier - einige Firewalls (insbesondere in großen oder sicheren Organisationen) und sogar AntiViren blockieren möglicherweise einfach einen solchen nicht standardmäßigen Port.
LazyOne
@Tom Wenn Sie sich für ein Platzhalterzertifikat entscheiden, können Sie die oben genannte Situation umgehen + Sie können Ihr eigenes gesichertes CDN verwenden (wenn Sie über viele statische Ressourcen verfügen, wie z. B. Produktbilder, können Sie diese zur Beschleunigung auf mehrere Subdomänen verteilen Seite noch mehr laden (ein Bild wird von img1.example.com geladen, ein anderes von img5.example.com usw.))
LazyOne
0

Gut gemacht, um Ihren Inhalt richtig einzurichten, damit Cookies nicht für jedes kleine Bild, jede CSS- und JS-Datei ausgelöst werden!

Wie für Ihre httpd: // Komplikation ...

Sie können dieses Problem umgehen, indem Sie den gesamten https: // Datenverkehr von einer IP-Adresse aus bereitstellen, einschließlich des statischen Inhalts. Solange dies Login, Kundenkontobereich, Kasse oder andere Bereiche sind, in denen Sie wirklich https: // benötigen, sollte das nicht zu viel sein.

Die Tools, die Sie benötigen, um dies zu bewirken, befinden sich in Ihren httpd.conf-Dateien - alle drei ...

Wenn Sie .htaccess verwenden, können Sie all dies in Ihre httpd.conf verschieben (was wiederum die Leistung verbessert, wenn auch nicht unbedingt spürbar). Auf diese Weise können Sie zwei separate "htaccess" -Methoden verwenden, um Ihre Inhalte bereitzustellen.

Ich gehe davon aus, dass sich Ihre / js / images und andere statische Inhalte nicht auf einer anderen Box befinden. Ohne zu erklären, was Sie geändert haben, um Ihr Setup zu bewirken, ist es schwierig, eine vollständige Lösung vorzuschlagen, aber ich denke, Sie sollten in der Lage sein, https: // dazu zu bringen, die eine Domain zu bearbeiten, wenn Sie das bereits Erreichte erreicht haben.

Die beiden SSLs auf einer IP-Adresse sind ein Mythos:

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Wenn Sie sich für zwei Zertifikate auf einer IP entscheiden, erhalten Ihre IE6-Benutzer möglicherweise ein hartes Geschäft. Dies funktioniert jedoch für alle anderen Browser.

ʍǝɥʇɐɯ
quelle
"Server Name Indication" - IIS unterstützt dies nicht. Soweit ich mich vom letzten Ticket erinnere , hat Tom höchstwahrscheinlich IIS v7.5.
LazyOne
Ich vergesse IIS! Keine Erfahrung mit zwei SSLs auf IIS, aber Sie können dies mit einem 90-Dollar- Zertifikat
5.