Meerdere SSL Certificaten op 1 IP-adres

De vraag naar SSL-beveiliging neemt toe, maar het aantal beschikbare IP-adressen neemt af. Daarom beschrijven we hier een aantal oplossingen voor het beveiligen van meerdere domeinnamen op een enkel IP-adres.

Ieder SSL-certificaat heeft standaard een uniek IP-adres nodig. IPv4 adressen worden steeds schaarser, en IPv6 is als beoogde opvolger nog geen volledig alternatief. Veel websites delen daarom hetzelfde IP-adres via Name Based Hosting. Hierbij vindt de identificatie van de juiste website plaats op basis van de naam in de Host Header. Omdat het opzetten van de SSL-verbinding al eerder plaatsvindt, moeten domeinnamen met hetzelfde IP-adres in deze situatie gebruikmaken van hetzelfde certificaat.

Server Name Indication (SNI)

SNI is een techniek die op een server gebruikt kan worden, hier is dus geen specifiek SSL certificaat voor nodig.

Server Name Indication is een uitbreiding van SSL en TLS die al sinds 2003 beschikbaar is. SNI geeft aan het begin van de 'handshake' aan met welke hostname een browser verbinding zoekt. Dit maakt het mogelijk voor de server om meerdere certificaten te presenteren. SNI wordt nog niet veel toegepast omdat sommige oudere browsers/systemen de techniek niet ondersteunen. Door alleen gebruik te maken van SNI geeft een website daardoor voor ongeveer 15% van de gebruikers een foutmelding.

Multi-domeincertificaat (MDC)

In een Multi-domeincertificaat kunnen meerdere domeinnamen opgenomen worden, tot een maximum van ongeveer 100 domeinen per certificaat. Het grote voordeel van een MDC is dat dit certificaat op alle validatieniveau's beschikbaar is én op alle browsers/systemen werkt, zodat er geen bezoekers uitgesloten worden. Er zijn echter ook voorwaarden die een MDC niet voor iedere situatie geschikt maken:

  • Iedere domeinnaam wordt zichtbaar in het certificaat opgenomen. Als websites A, B en C een MDC delen ziet een bezoeker van website A dus ook de domeinnamen van websites B en C zodra hij het certificaat bekijkt.
  • Er kan maar 1 organisatienaam in het certificaat opgenomen worden. Voor certificaten met bedrijfsgegevens (Organisatie- en Uitgebreide validatie) geldt hierdoor dat alle domeinnamen dezelfde domeineigenaar moeten hebben.

Een combinatie

Door SNI te combineren met een MDC is het mogelijk meerdere certificaten te gebruiken op een enkel IP-adres, terwijl de websites ook bereikbaar blijven voor bezoekers zonder SNI ondersteuning. Dit werkt als volgt:

  • Iedere website wordt op basis van SNI voorzien van een eigen SSL certificaat. Dit maakt het mogelijk voor website A bijvoorbeeld een Comodo EV certificaat met groene adresbalk en bedrijfsnaam, en voor website B een Thawte wildcard te gebruiken.
  • Om de websites bereikbaar te houden voor browsers/systemen zonder SNI ondersteuning wordt een multidomeincertificaat zonder bedrijfsgegevens gebruikt. Dit certificaat bevat de informatie van de serverbeheerder in het onderwerp, en een Subject Alternative Name voor elke SSL beveiligde website op het IP-adres. Bezoekers zonder SNI ondersteuning kunnen zo evengoed gebruik maken van een veilige verbinding.

MDC aanvragen

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.