V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
b244183
V2EX  ›  问与答

还是搞不懂为什么 SSL 需要独立 IP

  •  
  •   b244183 · 2014-12-28 20:15:00 +08:00 · 4162 次点击
    这是一个创建于 3618 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我在一台机子上跑Nginx,多个域名,每个域名一个证书,证书是颁发给域名的,又不是颁发给IP的,为什么SSL需要独立IP?

    是不是因为SNI。TLS 握手发生在HTTP Header被发送之前,所以不支持SNI的浏览器访问某个跑着多个站的Web Server时,Server就不知道提供哪个证书了,是这样吗?

    还有个问题,昨天访问某个网站。发现证书是颁发给xxxx.cloudflare.com,但是浏览器却没有错误提示。这是怎么回事呢?
    14 条回复    2014-12-29 08:08:46 +08:00
    orvice
        1
    orvice  
       2014-12-28 20:22:14 +08:00
    lz你都说SNI了。。。。
    shiny
        2
    shiny  
       2014-12-28 20:25:24 +08:00


    cloudflare 的福利,注意上面有多个域名
    wy315700
        3
    wy315700  
       2014-12-28 20:26:43 +08:00
    SSL握手在HTTP之前,所以服务器不知道你要访问哪个域名,所以就只能凭IP来提供证书
    cevincheung
        4
    cevincheung  
       2014-12-28 20:29:22 +08:00
    nginx的话,重新编译,并且加入参数--with-openssl-opt="enable-tlsext"即可。
    Starduster
        5
    Starduster  
       2014-12-28 20:40:56 +08:00   ❤️ 1
    因为 SSL 是上古时期的协议,TLS 上世纪末就出现了,也就是现在基本都支持 SNI ,不过说起来为什么 SNI 没成为默认的设置我也比较奇怪
    pfitseng
        6
    pfitseng  
       2014-12-28 21:04:22 +08:00 via Android
    一个IP只有一个80口,你一个域名对应一个IP那要不要sni无所谓,可惜ipv4终有尽 。
    tumutanzi
        7
    tumutanzi  
       2014-12-28 21:08:15 +08:00
    SSL越来越火了?我用好几年了~我的主机的确是用了独立IP。
    geekzu
        8
    geekzu  
       2014-12-28 22:17:56 +08:00 via Android
    cf用的是ecc证书,多域
    wwqgtxx
        9
    wwqgtxx  
       2014-12-28 22:41:21 +08:00 via Android
    @pfitseng sni跟80有啥关系,不是443么?
    BlueFly
        10
    BlueFly  
       2014-12-28 23:22:11 +08:00
    @pfitseng 一台共享主机放几十上百个网站,也只是一个IP,一个80端口……
    msg7086
        11
    msg7086  
       2014-12-29 00:43:42 +08:00
    1. 自问自答。
    2. 一个IP在没有SNI支持的情况下只能提供「1张证书」。
    如果你1个域名1张证书,没有SNI就只能多IP。
    另外SNI本身会暴露你正在访问的地址。也就是说,可能会被一些不特定多数防火墙所监控。
    mornlight
        12
    mornlight  
       2014-12-29 00:47:55 +08:00
    没懂楼主意思,SSL什么情况下必须独立 IP?
    Slienc7
        13
    Slienc7  
       2014-12-29 01:03:50 +08:00
    注意sni对windowsxp有不兼容
    cf用的是多域名证书
    独立IP是保证安全性,以前ssl还是高端产品,谁会在意是不是独立IP?

    ssl不是装饰品,是为了保证安全性。很多用sni都是主机商,ssl私钥什么的全给主机商了,那不是骗用户么?就是个绿色logo好看?
    pfitseng
        14
    pfitseng  
       2014-12-29 08:08:46 +08:00 via iPhone
    @wwqgtxx 明白意思就行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2665 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:12 · PVG 13:12 · LAX 21:12 · JFK 00:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.