Ja, das ist aber großer Mist, weil man sich das dann angewöhnt und wenn man dann jedem dahergelaufenen Server sein SSL-Cert abnimmt, kann man sich das auch gleich sparen.
Merke: SSL _soll_ nicht nur verschlüsseln sondern auch die Identität nachweisen. Die Praxis sieht natürlich anders aus, aber trotzdem ...
die Wildcards kannst Du z.B. via GlobalSign signieren lassen. Mit dem Verweis auf das ServerChain innerhalb des SSL-Blocks im Indianer bekommst Du im Browser auch den kompletten Signatur-Pfad angezeigt. In Deutschland wird GlobalSign in München vertrieben.
https://ssl.wis.de/certs/?PID=ATeO
Ich verwende die selbst auch.
Neben dem Tipp unterschiedliche User mit einem Zertifikat zu bedienen würde mich die andere Variante brennend interessieren, bei der man mehrere CERTS & VHOSTS via mod_rewrite unterhalb einer einzigen IP definieren kann. Vielleicht hat dazu schon jemand einen Workarround ?
Mehrere Certs für name based vhosts mit nur einer IP halte ich für ein Gerücht. Nach all meinen Recherchen wird die SSL-Verbindung ausgehandelt, noch BEVOR die HTTP GET Anfrage gesendet wird. Der Server ahnt beim SSL-Verbindungsaufbau also noch gar nicht, an welche Domain die nachfolgende Anfrage gerichtet sein wird.
Allenfalls ein Patch könnte denkbar sein, das die IP des Clients loggt, sofern sich der Client vorher auf unverschlüsselten Verbindungen bewegt. Das wäre aber ein ziemlicher dirty hack.
Sollte mich wundern, wenn eine relativ saubere Lösung über SSL zu finden wäre. Ich weiß nicht, ob TLS sich implementieren ließe und obs einen Unterschied machen würde.
Kann man die nicht verwenden?
Merke: SSL _soll_ nicht nur verschlüsseln sondern auch die Identität nachweisen. Die Praxis sieht natürlich anders aus, aber trotzdem ...
die Wildcards kannst Du z.B. via GlobalSign signieren lassen. Mit dem Verweis auf das ServerChain innerhalb des SSL-Blocks im Indianer bekommst Du im Browser auch den kompletten Signatur-Pfad angezeigt. In Deutschland wird GlobalSign in München vertrieben.
https://ssl.wis.de/certs/?PID=ATeO
Ich verwende die selbst auch.
Neben dem Tipp unterschiedliche User mit einem Zertifikat zu bedienen würde mich die andere Variante brennend interessieren, bei der man mehrere CERTS & VHOSTS via mod_rewrite unterhalb einer einzigen IP definieren kann. Vielleicht hat dazu schon jemand einen Workarround ?
Abendliche Grüße aus Erfurt
Mario
Allenfalls ein Patch könnte denkbar sein, das die IP des Clients loggt, sofern sich der Client vorher auf unverschlüsselten Verbindungen bewegt. Das wäre aber ein ziemlicher dirty hack.
Sollte mich wundern, wenn eine relativ saubere Lösung über SSL zu finden wäre.
Ich weiß nicht, ob TLS sich implementieren ließe und obs einen Unterschied machen würde.