Intreden SSL certificaat op gedeeld IP-adres

SSL-Certificaten hadden altijd een lastig nadeel: voor elk certificaat moest een apart IP-adres gebruikt worden. Tegenwoordig is dat niet meer nodig door een nieuwe techniek: Server Name Indication (SNI)

SSL-Certificaten hadden altijd een lastig nadeel: voor elk certificaat moest een apart IP-adres gebruikt worden. Tegenwoordig is dat niet meer nodig door een nieuwe techniek: Server Name Indication (SNI)

Het is al jarenlang geen enkel probleem om meerdere websites op één webserver onder te brengen. Browsers geven door aan de webserver van welke site ze een pagina willen opvragen, zodat de server weet welke webruimte geraadpleegd dient te worden. Dit wordt aangegeven als onderdeel van de HTTP-aanvraag naar de server toe. HTTP is ook te beveiligen met een SSL-certificaat: HTTPS. Deze zorgt voor encryptie en identificatie van de verbinding. De encryptie zorgt dat de verbinding niet afgeluisterd kan worden en de identificatie zorgt er voor dat je weet dat je met de juiste partij verbinding hebt.

Dat laatste is bijvoorbeeld nodig om je te wapenen tegen netwerkbeheerders die alle netwerkverkeer naar je bank doorstuurt naar een malafide webserver. Een malafide webserver kan geen gebruik maken van het certificaat van de officiële site, waardoor de browser van een bezoeker een waarschuwing kan geven bij het opvragen van de site vanaf een malafide webserver. Het probleem is: al die controles worden gedaan nog voordat de webbrowser tegen de webserver kan vertellen welke site hij wil hebben. De server weet dus niet welk certificaat er naar de browser gestuurd moet worden. De enige oplossing is één certificaat per IP-adres: de server ziet op welk IP-adres de verbinding binnen komt en stuurt het overeenkomstige certificaat naar de browser toe.
ipv4 rundown

Echter zijn wereldwijd de IP-adressen op!

SNI heeft hier een oplossing voor. De browser kan nu naar de server sturen voor welke site hij een beveiligde verbinding wil opzetten. De browser moet dit natuurlijk wel ondersteunen. Gelukkig wordt SNI door elke moderne browser op een modern besturingssysteem ondersteunt. Belangrijke browsers en besturingssystemen die geen SNI ondersteunen zijn:

  • Alle versies van Microsoft Internet Explorer op Windows XP
  • Apple Safari op Windows XP
  • Blackberry OS tot en met versie 7.1
  • Windows Mobile tot en met versie 6.5

Dit zijn dus erg verouderde browsers en besturingssystemen. Het aantal bezoekers van een site dat hier gebruik van maakt is inmiddels erg laag. In mei 2014 had bijvoorbeeld nog maar 7,3% Windows XP en dat heeft gelukkig een aflopende trend. Inmiddels wordt Windows XP niet meer ondersteunt door Microsoft en ligt het aandeel nog veel lager.

HostingXS voert vanaf heden het beleid om SSL certificaten op een gedeeld IP-adres te installeren voor nieuwe aanvragen en verleningen.