Apunte varios dominios HTTPS al mismo servidor web

6

Actualmente estamos ejecutando un SaaS a través de HTTPS (abc.net) y uno de nuestros clientes (xyz.com) quiere hacer una marca personalizada. El cliente xyz.com tendrá su propio subdominio xyz.abc.net que se parece a su parte de xyz.com cuando se ve desde un navegador web.

El cliente agregará registros CNAME a su DNS para que las solicitudes HTTP (S) realizadas hacia xyz.com se enruten a xyz.abc.net.

Lo anterior debería funcionar en teoría, ya que tanto xyz.com como * .abc.net han verificado Certificados.

Pero, ¿cuál será el certificado que estará visible en la barra de direcciones para un usuario promedio cuando acceda a xyz.com? Si el usuario ve el Certificado de * .abc.net en lugar de xyz.com, ¿hay alguna forma de cambiarlo?

Dado que ya existe un certificado para * .abc.net, el cliente no puede obtener un nuevo certificado para su subdominio.

Ya encontré esto , pero parece un poco diferente de la pregunta anterior . Además, el cliente no quiere hacer proxy (lo que requiere que ejecuten servidores).

    
pregunta JOW 12.08.2015 - 13:13
fuente

1 respuesta

10

No hay magia allí: el usuario verá lo que envía el servidor web y el servidor web enviará lo que usted le dice que envíe.

Dijiste que ambas URL compartirán la misma IP usando una entrada DNS CNAME, por lo que encontrarás un comportamiento diferente dependiendo del soporte del navegador SNI o no. SNI es compatible con todos los navegadores recientes y les permite indicar el nombre del servidor durante las primeras fases del protocolo de enlace SSL, lo que permite al servidor web seleccionar el certificado correcto para mostrar al cliente.

  • Con los navegadores que admiten SNI, simplemente tiene que configurar diferentes hosts virtuales (o equivalentes según su servidor web) según el nombre del servidor, cada uno en referencia a su propio certificado, pero probablemente compartiendo la misma raíz del documento y otras propiedades.
  • Si desea admitir navegadores más antiguos, al recibir una solicitud de dicho navegador, el servidor web, al no haber recibido un nombre de servidor, siempre seleccionará el host virtual predeterminado y usará la configuración que contiene.
    Si desea estar perfectamente limpio y mostrar el certificado correcto incluso para esos clientes, deberá usar una IP diferente para cada nombre de servidor. De lo contrario, dependerá de usted (hem, su cliente) decidir en qué medida tolera una degradación elegante de sus servicios para los clientes que utilizan el navegador antiguo (el sitio web seguirá siendo accesible en cualquier caso para estos clientes: más antiguos, y por lo tanto, por definición insegura: los navegadores tendrán una advertencia de seguridad que menciona el certificado del otro dominio o un certificado predeterminado especialmente generado, dependiendo de su configuración y elección).
respondido por el WhiteWinterWolf 12.08.2015 - 13:52
fuente

Lea otras preguntas en las etiquetas