Czy certyfikat SSL potrzebuje dedykowanego numeru IP? Dosyć często o to pytacie. Szczególnie w ostatnich miesiącach kiedy temat SSL dzięki Google Chrome (który z wersji na wersję coraz agresywniej zaczyna oznaczać strony bez certyfikatu jako niezabezpieczone) stał się bardzo popularny (do tego tematu jeszcze wrócimy).
„W poprzedniej firmie nie dość, że musiałam zapłacić dużo za certyfikat SSL to jeszcze musiałam drugie tyle dopłacić za rzekomo instalację na dodatkowym IP. Teraz nie muszę za to płacić – czy to oznacza, że poprzednia firma naciąga na dodatkowe usługi? Czy ten IP był faktycznie konieczny?”.
W uproszczeniu (bo certyfikaty same z siebie nie wymagają) można powiedzieć, że TAK. W odniesieniu do naszej strony www sprowadza się do tego, że aby certyfikat można było zainstalować w środowisku współdzielonym musi ta strona działać na dedykowanym (osobnym, tylko dla tej strony) adresie IP.
Z kolei adresów IP w wersji czwartej (IPv4 dotychczasowy obowiązujący nadal standard) jest już na tyle mało (de facto oficjalnie nie ma już wolnych puli adresów), że faktycznie pobierane są za nie opłaty, nie ma innej możliwości w takiej sytuacji.
Reasumując: nie, naprawdopodobniej poprzednia firma nie chciała nikogo oszukać. Po prostu miała klasyczną konfigurację serwerów i nie obsługiwała rozszerzenia SNI (o czym za chwilę) co właśnie skutkuje potrzebą osobnego adresu IP per dana strona www.
Certyfikat SSL na SNI
A co to jest to SNI? Jest to rozszerzenie protokołu (TLS) które pozwala na używanie współdzielonego adresu IP czyli analogicznie jak w przypadku stron www – można na jednym adresie IP utrzymywać nieograniczoną ilość certyfikatów SSL. Ot i cała tajemnica i rozwiązanie zagadki. Jedna firma nie obsługująca SNI żeby obsłużyć certyfikaty SSL będzie zmuszona do umiejscowienia ich na osobnych adresach IP, a druga firma, która obsługuje SNI nie będzie musiała tego robić. Stąd poprzednia firma wymagała dodatkowego adresu IP, a my obsługujemy SNI więc ten adres nie jest wymagany. Oczywiście dedykowany numer IP jest bardzo przydatny (np. email, SEO) ale to już zupełnie inny temat.
Ciemna strona SNI
Niestety nie wszystko jest takie różowe. Certyfikat SSL oparty na SNI nie będzie poprawnie rozpoznawany w (bardzo) starych przeglądarkach i systemach. Dla ogromnej większości ludzi to jest już takie muzeum, że nie ma to znaczenia dlatego mało kto się tym przejmuje. Nie mniej trzeba mieć na uwadze, że na takich zabytkach jak np. Windows XP czy Android 2.x nie będzie to działało poprawnie. Szczególnie istotne w dużych firmach gdzie jeszcze używa się wewnętrznie starego sprzętu i oprogramowania. Z czasem pewnie problem zniknie razem z utylizacją starych wersji. Kompatybilność SNI można sprawdzić na Wikipedii lub na Can I Use.
Darmowe certyfikaty SSL w netBOMB
Warto dodać, że od niedawna zupełnie darmowe certyfikaty SSL można u nas wygenerować darmowo (żadnych haczyków, to normalne certyfikaty wystawiane przez Let’s Encrypt, wkrótce opiszemy to dokładniej) w panelu DirectAdmin. Jeżeli ktoś z klientów ma z tym problem to prosimy o kontakt, a wygenerujemy taki certyfikat za niego. Certyfikaty można wygenerować dla każdej domeny czy subdomeny i są one darmowe dla wszystkich naszych klientów.
