可能重复:
同一IP地址和同一端口上有多个SSL域?
我正在开发一个Web应用程序,必须必须使用HTTPS。 虽然价格便宜,但我真的不需要(或者想要支付)我自己的专用IP地址,除了TLS所需的IP地址。
除了现代networking浏览器支持TLS的扩展,允许许多域名在一个IP之后运行。
(感觉就像我们回到了90年代中期,当时许多浏览器都支持HTTP 1.1主机头,但是还不够)。
世界是否准备好依赖这个TLS扩展的网站,还是应该为专用IP付费?
在WinXP上运行的IE(任何版本),运行在XP或更旧的OS X上的Safari都不会执行SNI。 这是您的一些最常见平台的默认浏览器。
获取专用的IP地址。 如果你有一个虚拟的私人服务器,你已经有了,而且在大多数提供商中额外的IP并不昂贵。 如果您至less没有运行虚拟专用服务器,那么您就没有业务运行必须必须运行HTTPS的应用程序。廉价共享主机不会提供所需的安全级别,以确保您的数据是私有的。
(如果你担心的是你将要在不同的主机名下运行这个服务的许多实例,并且你不需要大量的IP地址,那么是的,这是一个问题。通常通过将所有主机名放在一个带有通配符证书的域。)
你可以用slicehost.com上的专用IP以每月$ 20的价格获得一个VPS。 我知道你说便宜,但这并不昂贵。
这并不能真正回答你的问题。 尽pipe应用程序的快速发展,networking已经非常抵制基础设施的变化。 看看IPv4 / IPv6的混乱 – 这已经持续了十多年。 你有一个全球数百万的安装基地,没有一个支持(我不认为)基于名称的HTTPS。
TechRepublic上的这篇文章就SNI进行了讨论,并且包含了目前支持SNI的浏览器列表。 看看这个列表和一些数据,例如这里,然后做出自己的决定。 这真的取决于你期望你的客户是谁。
“世界”永远不会准备好让别人开始依赖于非标准的扩展。 如果你真的想使用不属于基本标准的东西,你必须提供一个替代scheme或接受后果。 一个主要的例子就是SMTP协议,它有更多的扩展,比你可以摇动一下。 任何一个体面的邮件程序,无论是客户端还是服务器,当另一端不支持扩展时,都应该回退到基地。
可以在单个IP地址上执行基于名称的SSL虚拟主机,只要它们共享相同的证书即可。
但是并不是所有的Web服务器都支持这个选项,因为它有严重的限制,它不能处理不同的证书。