还是搞不懂为什么 SSL 需要独立 IP

2014-12-28 20:15:00 +08:00
 b244183
我在一台机子上跑Nginx,多个域名,每个域名一个证书,证书是颁发给域名的,又不是颁发给IP的,为什么SSL需要独立IP?

是不是因为SNI。TLS 握手发生在HTTP Header被发送之前,所以不支持SNI的浏览器访问某个跑着多个站的Web Server时,Server就不知道提供哪个证书了,是这样吗?

还有个问题,昨天访问某个网站。发现证书是颁发给xxxx.cloudflare.com,但是浏览器却没有错误提示。这是怎么回事呢?
4047 次点击
所在节点    问与答
14 条回复
orvice
2014-12-28 20:22:14 +08:00
lz你都说SNI了。。。。
shiny
2014-12-28 20:25:24 +08:00


cloudflare 的福利,注意上面有多个域名
wy315700
2014-12-28 20:26:43 +08:00
SSL握手在HTTP之前,所以服务器不知道你要访问哪个域名,所以就只能凭IP来提供证书
cevincheung
2014-12-28 20:29:22 +08:00
nginx的话,重新编译,并且加入参数--with-openssl-opt="enable-tlsext"即可。
Starduster
2014-12-28 20:40:56 +08:00
因为 SSL 是上古时期的协议,TLS 上世纪末就出现了,也就是现在基本都支持 SNI ,不过说起来为什么 SNI 没成为默认的设置我也比较奇怪
pfitseng
2014-12-28 21:04:22 +08:00
一个IP只有一个80口,你一个域名对应一个IP那要不要sni无所谓,可惜ipv4终有尽 。
tumutanzi
2014-12-28 21:08:15 +08:00
SSL越来越火了?我用好几年了~我的主机的确是用了独立IP。
geekzu
2014-12-28 22:17:56 +08:00
cf用的是ecc证书,多域
wwqgtxx
2014-12-28 22:41:21 +08:00
@pfitseng sni跟80有啥关系,不是443么?
BlueFly
2014-12-28 23:22:11 +08:00
@pfitseng 一台共享主机放几十上百个网站,也只是一个IP,一个80端口……
msg7086
2014-12-29 00:43:42 +08:00
1. 自问自答。
2. 一个IP在没有SNI支持的情况下只能提供「1张证书」。
如果你1个域名1张证书,没有SNI就只能多IP。
另外SNI本身会暴露你正在访问的地址。也就是说,可能会被一些不特定多数防火墙所监控。
mornlight
2014-12-29 00:47:55 +08:00
没懂楼主意思,SSL什么情况下必须独立 IP?
Slienc7
2014-12-29 01:03:50 +08:00
注意sni对windowsxp有不兼容
cf用的是多域名证书
独立IP是保证安全性,以前ssl还是高端产品,谁会在意是不是独立IP?

ssl不是装饰品,是为了保证安全性。很多用sni都是主机商,ssl私钥什么的全给主机商了,那不是骗用户么?就是个绿色logo好看?
pfitseng
2014-12-29 08:08:46 +08:00
@wwqgtxx 明白意思就行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/157395

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX