এটি একই আইপিতে একাধিক এসএসএল ওয়েবসাইট হোস্টিং সম্পর্কিত একটি ক্যানোনিকাল প্রশ্ন ।

আমি এই ছাপে ছিলাম যে প্রতিটি এসএসএল শংসাপত্রের এটির নিজস্ব অনন্য আইপি ঠিকানা / পোর্ট সংমিশ্রণের প্রয়োজন required তবে আমি পোস্ট করা পূর্ববর্তী প্রশ্নের উত্তর এই দাবির সাথে মতবিরোধের মধ্যে রয়েছে।

এই প্রশ্ন থেকে তথ্য ব্যবহার করে, আমি একই আইপি ঠিকানায় এবং 443 বন্দরে একাধিক এসএসএল শংসাপত্র পেতে সক্ষম হয়েছি above আমি কেন খুব বিভ্রান্ত হয়েছি যে এই কাজটি উপরের অনুমান হিসাবে দেওয়া হয়েছে এবং অন্যদের দ্বারা আরও জোর দেওয়া হয়েছে যে প্রতিটি এসএসএল ডোমেন ওয়েবসাইটটিতে একই সার্ভারটির নিজস্ব আইপি / পোর্ট প্রয়োজন।

আমি সন্দেহ করেছি যে আমি কিছু ভুল করেছি। একাধিক এসএসএল শংসাপত্রগুলি এভাবে ব্যবহার করা যেতে পারে?

অতিরিক্ত এইচটিটিপি-নির্দিষ্ট আরএফসি সহ অ্যাপাচি এবং এসএনআই-এ সর্বাধিক যুগোপযোগী তথ্যের জন্য দয়া করে অ্যাপাচি উইকি দেখুন

এফওয়াইসিআই: "এক আইপিতে একাধিক (বিভিন্ন) এসএসএল শংসাপত্রগুলি" টিএলএস আপগ্রেডিংয়ের যাদু দ্বারা আপনার কাছে নিয়ে আসে। এটি আরও নতুন অ্যাপাচি সার্ভার (২.২.x) এবং যুক্তিসঙ্গত সাম্প্রতিক ব্রাউজারগুলির সাথে কাজ করে (আমার মাথার শীর্ষে সংস্করণগুলি জানে না)।

আরএফসি 2817 (এইচটিটিপি / 1.1 এর মধ্যে টিএলএসে আপগ্রেড করা) এর বিশিষ্ট বিবরণ রয়েছে তবে মূলত এটি অনেক লোকের জন্য কাজ করে (সংখ্যাগরিষ্ঠ না হলে)।
আপনি s_clientযদিও ওপেনসেলের কমান্ড (বা কোনও "যথেষ্ট বয়স্ক" ব্রাউজার) দিয়ে পুরানো ফানকি আচরণটি পুনরুত্পাদন করতে পারেন ।

যুক্ত করার জন্য সম্পাদনা করুন: curlওপেনসেলের চেয়ে এখানে কী ঘটছে তা আপাতদৃষ্টিতে আপনাকে দেখাতে পারে:

SSLv3

mikeg@flexo% curl -v -v -v -3 https://www.yummyskin.com
* About to connect() to www.yummyskin.com port 443 (#0)
*   Trying 69.164.214.79... connected
* Connected to www.yummyskin.com (69.164.214.79) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: serialNumber=wq8O9mhOSp9fY9JcmaJUrFNWWrANURzJ; C=CA; 
              O=staging.bossystem.org; OU=GT07932874;
              OU=See www.rapidssl.com/resources/cps (c)10;
              OU=Domain Control Validated - RapidSSL(R);
              CN=staging.bossystem.org
*    start date: 2010-02-03 18:53:53 GMT
*    expire date: 2011-02-06 13:21:08 GMT
* SSL: certificate subject name 'staging.bossystem.org'
       does not match target host name 'www.yummyskin.com'
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):
curl: (51) SSL: certificate subject name 'staging.bossystem.org'
does not match target host name 'www.yummyskin.com'

TLSv1

mikeg@flexo% curl -v -v -v -1 https://www.yummyskin.com
* About to connect() to www.yummyskin.com port 443 (#0)
*   Trying 69.164.214.79... connected
* Connected to www.yummyskin.com (69.164.214.79) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: C=CA; O=www.yummyskin.com; OU=GT13670640;
              OU=See www.rapidssl.com/resources/cps (c)09;
              OU=Domain Control Validated - RapidSSL(R);
              CN=www.yummyskin.com
*    start date: 2009-04-24 15:48:15 GMT
*    expire date: 2010-04-25 15:48:15 GMT
*    common name: www.yummyskin.com (matched)
*    issuer: C=US; O=Equifax Secure Inc.; CN=Equifax Secure Global eBusiness CA-1
*    SSL certificate verify ok.

হ্যাঁ, তবে কিছু সাবধানবাণী রয়েছে।

এটি সার্ভার নেম ইঙ্গিতের মাধ্যমে সম্পন্ন হয়, পরিবহন স্তর সুরক্ষার জন্য একটি এক্সটেনশন।

সার্ভার নাম ইঙ্গিত কি?

সার্ভার নেম ইন্ডিকেশন ( আরএফসি 6066 ; অপ্রচলিত আরএফসি 4366 , আরএফসি 3546 ) ট্রান্সপোর্ট লেয়ার সিকিউরিটির একটি এক্সটেনশন যা ক্লায়েন্টকে যে হোস্টের কাছে পৌঁছানোর চেষ্টা করছে তার নাম জানাতে দেয়।

এসএনআই টিএলএস 1.0 এর সাথে সামঞ্জস্যপূর্ণ এবং অনুমান অনুযায়ী উচ্চতর, তবে বাস্তবায়নগুলি পৃথক হতে পারে (নীচে দেখুন)। এটি এসএসএল দিয়ে ব্যবহার করা যাবে না, সুতরাং এসএনআই ব্যবহারের জন্য একটি সংযোগ অবশ্যই টিএলএস ( আরএফসি 4346 পরিশিষ্ট ই দেখুন ) নিয়ে আলোচনা করতে হবে। সমর্থিত সফ্টওয়্যার দিয়ে এটি সাধারণত স্বয়ংক্রিয়ভাবে ঘটে।

কেন এসএনআই দরকার?

একটি সাধারণ HTTP সংযোগে, ব্রাউজারটি শিরোনামটি ব্যবহার করে যে সার্ভারটি পৌঁছানোর চেষ্টা করছে তার হোস্টনামের সার্ভারকে অবহিত করে Host:। এই একক IP ঠিকানার উপর ওয়েব সার্ভার একাধিক হোস্ট-নেম, যা সাধারণভাবে হিসাবে পরিচিত হয় জন্য সামগ্রী সেবা করার জন্য করতে পারবেন নাম ভিত্তিক ভার্চুয়াল হোস্টিং ।

বিকল্পটি হ'ল প্রতিটি ওয়েব হোস্টনামের জন্য অনন্য আইপি ঠিকানা প্রদান করা হবে। এটি সাধারণত ওয়েবে খুব প্রথম দিনগুলিতে করা হত, আইপি অ্যাড্রেসগুলি শেষ হয়ে যাবে এবং সংরক্ষণের ব্যবস্থা শুরু হবে এবং এটি এসএসএল ভার্চুয়াল হোস্টগুলির জন্য (এসএনআই ব্যবহার না করে) এখনও করা হয় widely

হোস্টের নাম প্রেরণের এই পদ্ধতির জন্য সংযোগটি ইতিমধ্যে প্রতিষ্ঠিত হওয়া দরকার, এটি এসএসএল / টিএলএস সংযোগের সাথে কাজ করে না। সুরক্ষিত সংযোগটি সেট আপ হওয়ার পরে, ওয়েব সার্ভারটি ইতিমধ্যে জানতে হবে যে এটি কোন হোস্টনামটি ক্লায়েন্টের কাছে পরিবেশন করতে চলেছে, কারণ ওয়েব সার্ভার নিজেই সুরক্ষিত সংযোগ স্থাপন করছে।

এসএনআই ক্লায়েন্টকে টিএলএস আলোচনার অংশ হিসাবে হোস্টনামটি প্রেরণ করে এই সমস্যাটি সমাধান করে, যাতে সার্ভারটি ইতিমধ্যে সচেতন থাকে যে সংযোগটি দেওয়ার জন্য কোন ভার্চুয়াল হোস্ট ব্যবহার করা উচিত। সার্ভারটি তখন সঠিক ভার্চুয়াল হোস্টের জন্য শংসাপত্র এবং কনফিগারেশন ব্যবহার করতে পারে।

কেন বিভিন্ন আইপি ঠিকানা ব্যবহার করবেন না?

Host:১৯৯০-এর দশকের মাঝামাঝি হিসাবে সমস্যা হিসাবে স্বীকৃত আইপিভি 4 অ্যাড্রেসের সংকটের কারণে একক আইপি ঠিকানা থেকে একাধিক ওয়েব হোস্টকে পরিবেশনের অনুমতি দেওয়ার জন্য এইচটিটিপি শিরোনামটি সংজ্ঞায়িত করা হয়েছিল। ভাগ করা ওয়েব হোস্টিং পরিবেশে, শত স্থান অনন্য, সম্পর্কিত নয় এমন ওয়েবসাইটগুলি একক আইপি ঠিকানাটি এভাবে ব্যবহার করা যেতে পারে, ঠিকানা স্থান সংরক্ষণ করে।

ভাগ করা হোস্টিং পরিবেশগুলি তখন দেখতে পেল যে আইপি অ্যাড্রেস স্পেসের বৃহত্তম ভোক্তা হ'ল সুরক্ষিত ওয়েবসাইটগুলির অনন্য আইপি অ্যাড্রেস থাকা দরকার ছিল, এসএনআইর জন্য আইপিভি 6-এর পথে স্টপ-গ্যাপ পরিমাপ হিসাবে প্রয়োজনীয়তা তৈরি করে। আজ কখনও কখনও উল্লেখযোগ্য সমর্থনযোগ্যতা ছাড়াই 5 আইপি অ্যাড্রেস (/ 29) হিসাবে প্রাপ্তি প্রায়শই কঠিন, প্রায়শই মোতায়েনের বিলম্ব ঘটে।

আইপিভি of এর আবির্ভাবের সাথে, এই জাতীয় ঠিকানা সংরক্ষণের কৌশলগুলি আর প্রয়োজন নেই, যেহেতু একক হোস্টের কাছে এটির জন্য পুরো ইন্টারনেটের আজকের চেয়ে আরও বেশি IPv6 ঠিকানা বরাদ্দ থাকতে পারে, তবে কৌশলগুলি সম্ভবত ভবিষ্যতে পরিষেবা উত্তরাধিকার আইপিভি 4-র জন্য ব্যবহৃত হবে will সংযোগ।

আদেশ সহকারে

কিছু অপারেটিং সিস্টেম / ব্রাউজার সংমিশ্রণ এসএনআই সমর্থন করে না (নীচে দেখুন), সুতরাং এসএনআই ব্যবহার সমস্ত পরিস্থিতিতে উপযুক্ত নয়। এই জাতীয় সিস্টেম / ব্রাউজার সংমিশ্রণকারী সাইটগুলিকে এসএনআই ত্যাগ করতে হবে এবং প্রতিটি ভার্চুয়াল হোস্টের জন্য অনন্য আইপি ঠিকানা ব্যবহার করা চালিয়ে যেতে হবে।

বিশেষ দ্রষ্টব্য, উইন্ডোজ এক্সপি ইন্টারনেট এক্সপ্লোরারের কোনও সংস্করণ এসএনআই সমর্থন করে না। যেহেতু এই সংমিশ্রণটি এখনও একটি তাত্পর্যপূর্ণভাবে প্রতিনিধিত্ব করে (তবে ধীরে ধীরে হ্রাস পাচ্ছে; নেটমার্কেটশেয়ার অনুযায়ী 2012 সালের প্রায় 16% ইন্টারনেট ট্র্যাফিক) ইন্টারনেট ট্র্যাফিকের অংশ হিসাবে, এসএনআই এই ব্যবহারকারীর জনসংখ্যা লক্ষ্য করে কোনও সাইটের জন্য অনুপযুক্ত।

সমর্থন

অনেকগুলি, তবে সমস্ত নয়, সাধারণত ব্যবহৃত সফ্টওয়্যার প্যাকেজগুলি এসএনআই সমর্থন করে।

(এই তালিকা থেকে নিষেধাজ্ঞার অর্থ অগত্যা সমর্থনের অভাব নয়; এর অর্থ আমি কতটা টাইপ করতে পারি তার সীমা ছিল বা আমি কোনও অনুসন্ধানে তথ্যটি দ্রুত খুঁজে পেলাম না If sniসমর্থনের উপস্থিতি এবং কীভাবে এটি সেট আপ করতে হয় তার নামটি প্লাস প্রকাশ করা উচিত)

লাইব্রেরি সহায়তা

বেশিরভাগ প্যাকেজগুলি এসএসএল / টিএলএস সমর্থন সরবরাহ করার জন্য একটি বাহ্যিক গ্রন্থাগারের উপর নির্ভর করে।

• জিএনইউ টিএলএস
• জেএসএসই (ওরাকল জাভা) 7 বা ততোধিক, কেবলমাত্র ক্লায়েন্ট হিসাবে
• libcurl 7.18.1 বা উচ্চতর
• এনএসএস ৩.১.১ বা তার বেশি
• ওপেনএসএসএল 0.9.8j বা তারও বেশি
  • কনফিগার পতাকা সহ ওপেনএসএসএল 0.9.8f বা উচ্চতর
• Qt 4.8 বা তার থেকেও উচ্চতর

সার্ভার সমর্থন

জনপ্রিয় সার্ভার সফটওয়্যারগুলির সর্বাধিক বর্তমান সংস্করণগুলি এসএনআই সমর্থন করে। এর মধ্যে বেশিরভাগের জন্য সেটআপ নির্দেশাবলী পাওয়া যায়:

• অ্যাপাচি ২.২.১২ বা তার বেশি
• অ্যাপাচি ট্র্যাফিক সার্ভার ৩.২.০ বা তার বেশি
• চেরোকি
• HAProxy 1.5 বা ততোধিক
• আইআইএস 8.0 বা উচ্চতর
• lighttpd 1.4.24 বা উচ্চতর
• লাইটস্পাইপ ৪.১ বা তার বেশি
• nginx 0.5.32 বা উচ্চতর

ক্লায়েন্ট সমর্থন

সর্বাধিক বর্তমান ওয়েব ব্রাউজার এবং কমান্ড লাইন ব্যবহারকারী এজেন্টগুলি এসএনআই সমর্থন করে।

ডেস্কটপ

• ক্রোম 5 বা তারও বেশি
  • উইন্ডোজ এক্সপিতে ক্রোম 6 বা তারও বেশি
• ফায়ারফক্স 2 বা তারও বেশি
• উইন্ডোজ ভিস্তা / সার্ভার ২০০৮ বা তারও বেশি চলমান ইন্টারনেট এক্সপ্লোরার
  • উইন্ডোজ এক্সপিতে ইন্টারনেট এক্সপ্লোরার আইই সংস্করণ নির্বিশেষে এসএনআই সমর্থন করে না
• কনকরার ৪.7 বা তার বেশি
• অপেরা 8 বা তারও বেশি (টিএলএস 1.1 কার্য করতে সক্ষম হতে পারে)
• উইন্ডোজ ভিস্তা / সার্ভার ২০০৮ বা তার চেয়ে বেশি বা ম্যাক ওএস এক্স 10.5.6 বা তারও বেশি সংস্করণে সাফারি 3.0

মুঠোফোন

• Brow.০ মধুচক্র বা তার চেয়েও উচ্চতরতে Android ব্রাউজার Brow
• iOS 4 বা ততোধিক সংস্করণে iOS সাফারি
• উইন্ডোজ ফোন 7 বা ততোধিক

কমান্ড লাইন

• সিআরএল 7.18.1 বা তারও বেশি higher
• উইজেট 1.14 বা উচ্চতর (ডিস্ট্রিবিউশনগুলি এসএনআই সমর্থনের জন্য একটি প্যাচ ব্যাকপোর্ট করেছে)

কোন সহযোগিতা নেই

• ব্ল্যাকবেরি ব্রাউজার
• উইন্ডোজ এক্সপি-তে ইন্টারনেট এক্সপ্লোরার (যে কোনও সংস্করণ)

(দ্রষ্টব্য: এই উত্তরের জন্য কিছু তথ্য উইকিপিডিয়া থেকে প্রাপ্ত হয়েছিল ))

সমস্যাটি:

যখন কোনও ওয়েব ক্লায়েন্ট এবং একটি ওয়েব সার্ভার এইচটিটিপিএস-এর মাধ্যমে একে অপরের সাথে কথা বলে, তখন প্রথম যেটি ঘটতে হবে তা হ'ল সুরক্ষিত হ্যান্ডশেক।

এই জাতীয় হ্যান্ডশেকের সরলীকৃত উদাহরণ এখানে:

এটি যদি এইচটিটিপি না এবং এইচটিটিপিএস না হত, ক্লায়েন্টটি প্রথম যে জিনিসটি পাঠিয়েছিল তা এমন কিছু হত:

GET /index.html HTTP/1.1
Host: example.com

এটি একক আইপি ঠিকানায় একাধিক ভার্চুয়াল হোস্টকে সম্ভব করেছে, যেহেতু সার্ভার ঠিক বুঝতে পারে ক্লায়েন্ট কোন ডোমেনটি অ্যাক্সেস করতে চায়, যথা উদাহরণ.কম।

এইচটিটিপিএস আলাদা। যেমনটি আমি আগে বলেছি, হ্যান্ডশেকটি সবকিছুর আগেই আসে। যদি আপনি উপরে বর্ণিত হ্যান্ডশেকের তৃতীয় ধাপটি দেখেন (শংসাপত্র), সার্ভারের হ্যান্ডশেকের অংশ হিসাবে ক্লায়েন্টের কাছে একটি শংসাপত্র উপস্থাপন করা দরকার, তবে ক্লায়েন্ট কী ডোমেন নামটি অ্যাক্সেস করার চেষ্টা করছে সে সম্পর্কে কোনও ধারণা নেই। সার্ভারের একমাত্র বিকল্প হ'ল প্রতিবার একই শংসাপত্রটি প্রেরণ করা, তার ডিফল্ট শংসাপত্র।

আপনি এখনও আপনার ওয়েব সার্ভারে ভার্চুয়াল হোস্ট সেট আপ করতে পারেন, তবে সার্ভার সর্বদা প্রতিটি ক্লায়েন্টকে একই শংসাপত্র প্রেরণ করবে। আপনি যদি নিজের সার্ভারে উদাহরণ.কম এবং উদাহরণ.org উভয় ওয়েবসাইটকে হোস্ট করার চেষ্টা করে থাকেন, যখন ক্লায়েন্ট এইচটিটিপিএস সংযোগের জন্য অনুরোধ করে সার্ভার সর্বদা উদাহরণ.কমের জন্য শংসাপত্র প্রেরণ করবে। সুতরাং যখন কোনও ক্লায়েন্ট কোনও প্রতিষ্ঠিত এইচটিটিপিএস সংযোগের জন্য উদাহরণ.org অনুরোধ করে, তখন এটি ঘটবে:

এই সমস্যাটি কার্যকরভাবে আপনি প্রতি আইপি ঠিকানায় এইচটিটিপিএস-এর মাধ্যমে ডোমেনের সংখ্যা সীমাবদ্ধ করতে পারেন।

সমাধান:

এই সমস্যাটি সমাধানের সবচেয়ে সহজ উপায় হ্যান্ডশেকের সময় ক্লায়েন্টটি কোনও ডোমেনটি অ্যাক্সেস করতে চায় তা সার্ভারকে জানানো । এইভাবে সার্ভারটি সঠিক শংসাপত্রটি সরবরাহ করতে পারে।

এটি ঠিক এসএনআই বা সার্ভারের নাম সূচকটি করে।

এসএনআই সহ ক্লায়েন্ট সার্ভারের নামটি পাঠায় যা এটি প্রথম বার্তার অংশ হিসাবে অ্যাক্সেস করতে চায়, উপরের হ্যান্ডশেক ডায়াগ্রামের "ক্লায়েন্ট হ্যালো" পদক্ষেপ।

কিছু পুরানো ওয়েব ব্রাউজার এসএনআই সমর্থন করে না। উদাহরণস্বরূপ, উইন্ডোজ এক্সপি-তে ইন্টারনেট এক্সপ্লোরারের একক সংস্করণ নেই যা এসএনআই-র জন্য সমর্থন করে। এসএনআই ভার্চুয়াল হোস্টগুলি ব্যবহার করে এমন কোনও সার্ভারে HTTPS- র মাধ্যমে কোনও সংস্থান অ্যাক্সেস করার সময়, আপনাকে একটি জেনেরিক শংসাপত্র দেওয়া হবে, যার ফলে ব্রাউজারটি একটি সতর্কতা বা ত্রুটি প্রদর্শন করতে পারে।

সমস্যা এবং সমাধানের পিছনে নীতিটি ব্যাখ্যা করার জন্য আমি এখানে জিনিসগুলি সরল করে তুলেছি। আপনি যদি আরও প্রযুক্তিগত ব্যাখ্যা চান, উইকিপিডিয়া পৃষ্ঠা বা আরএফসি 6066 ভাল সূচনা পয়েন্ট হিসাবে পরিবেশন করতে পারে। আপনি উইকিপিডিয়ায় SNI সমর্থন করে এমন সার্ভার এবং ব্রাউজারগুলির তালিকার একটি আপ টু ডেট খুঁজে পেতে পারেন

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

ক্লায়েন্ট ব্রাউজারটি অবশ্যই এসএনআই সমর্থন করবে। এখানে কিছু ব্রাউজার রয়েছে যা:

* Mozilla Firefox 2.0 or later
* Opera 8.0 or later (with TLS 1.1 enabled)
* Internet Explorer 7.0 or later (on Vista, not XP)
* Google Chrome
* Safari 3.2.1 on Mac OS X 10.5.6 

সার্ভারের নাম ইঙ্গিত (RFC6066) টিএলএস এক্সটেনশানটি এইচটিটিপিএসে কাজ করতে নাম ভিত্তিক vhosts এর জন্য প্রয়োজনীয়।

এক্সটেনশানটি ব্যাপকভাবে প্রয়োগ করা হয়েছে এবং বর্তমান সফ্টওয়্যারটির সাথে আমার এখনও কোনও সমস্যার মুখোমুখি হতে হয়নি, তবে আপনি যদি এসএনআই এর উপর নির্ভর করেন তবে কিছু ক্লায়েন্ট (যারা এটি সমর্থন করে না) তাদের আপনার ডিফল্ট সাইটে নিয়ে যাবে a