Meerdere websites, te weinig ip adressen

Los van of je hoster dit accepteert, je hebt nu dus 80 IP-adressen voor 20 websites? Lijkt me sowieso dat het efficiënter is dat terug te brengen tot 1 of 2 adressen, ook voor jezelf.

Ik snap niet helemaal waarom je zoveel IP-adressen nodig hebt.

Ten eerste; waarom wil je voor elk subdomein een apart IP-adres? Je kan toch prima tig (sub)domeinen laten verwijzen naar hetzelfde IP-adres?

Ten tweede; waarom moet HTTPS op een ander IP-adres? Dat draait toch op een andere poort dan HTTP.

En ja, IPv4-adressen raken op dus die zijn vaak duur en lastig te krijgen. Hoe je dit efficienter kan maken? Simpel. Ga van 80 IP-adressen in totaal naar slechts 1 IP-adres. Ik snap het probleem niet.

[ Voor 24% gewijzigd door Compizfox op 29-08-2014 13:38 ]

Https heeft vaak een dedicated ip nodig, maar vooralsnog volstaat dan 20 ip adressen voor 20 sites

Als je een SSL-certificaat wilt gebruiken heb je een dedicated IP-adres nodig, dus dat gedeelte snap ik wel. 80 IP-adressen voor 20 websites is wel heel overdreven inderdaad.

Ik kan me voorstellen dat ze dit niet efficiënt vinden, dat is het ook totaal niet. Virtual hosts?

prekz schreef op vrijdag 29 augustus 2014 @ 13:37:
Https heeft vaak een dedicated ip nodig

Eh, nee?

, maar vooralsnog volstaat dan 20 ip adressen voor 20 sites

Of 1 adres voor 20 websites. Als ze toch op dezelfde fysieke server draaien maakt dat echt niets uit.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 13:38:
Volgens onze hoster kan je op 1 IP adres niet meerdere websites draaien. Dus voor elk domein en elk subdomein hebben we een apart IP adres nodig.

Ook voor HTTPS is een apart IP nodig.

Ik had het idee om dan alles op HTTPS te gooien maar er wordt dan gezegd dat dit niet ideaal is voor de snelheid en load van de server. plaatjes, javascripts en css zouden dan te lang erover doen om te laden omdat ze niet gecached worden door browsers.

Aha, je host het dus niet zelf. Dat had ik nog niet begrepen

In dat geval, gewoon andere hoster zoeken. Wat een onzin zeg.

Klein beetje offtopic, maar alles op HTTPS gooien zou ik zelf juist wel doen. Het is voor de meeste (statische) content niet altijd noodzakelijk maar in het ideale geval zit het hele web op HTTPS en is afluisteren bijna onmogelijk.

[ Voor 60% gewijzigd door Compizfox op 29-08-2014 13:41 ]

Een apart IP per certificaat is al een tijdje niet meer nodig, uitgaande dat je prehistorische browsers negeert - zie ook https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Het probleem is natuurlijk nogsteeds dat die IPV4 adressen bijna op zijn of al op zijn. Dus dat RIPE moeilijk(er) doet kan ik me heel goed voorstellen.
Ik zie alleen niet waarom je per website 4 adressen nodig hebt? Ook met https?

Bene schreef op vrijdag 29 augustus 2014 @ 13:39:
Een apart IP per certificaat is al een tijdje niet meer nodig, uitgaande dat je prehistorische browsers negeert - zie ook https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

En Windows XP natuurlijk....

Sebazzz schreef op vrijdag 29 augustus 2014 @ 13:41:
[...]

En Windows XP natuurlijk....

XP is toch al niet meer secure.

Maar je hoster heeft het dus mis.
www.a.nl kan prima verwijzen naar 266.266.266.266:80/a/index.html
terwijl www.b.nl verwijst naar 266.266.266.266:80/b/index.html
(voorbeeld, ip bestaat natuurlijk niet)

Bij Apache en IIS kun je gewoon een virtuele server opgeven:

zeg maar

*.mijndomein.nl -> /home/hosting/websitea
*.anderedomein.nl -> /home/hosting/websiteb

terwijl beide gewoon op dezelfde IP en poort (80) werken.

Sebazzz schreef op vrijdag 29 augustus 2014 @ 13:41:
En Windows XP natuurlijk....

Je hebt volkomen gelijk lees ik nu, waarschijnlijk heeft dit ons bezoekers gekost, daar duik ik in. Mag ik u hartelijk danken voor mijn "oh shit, oh nee toch, oooh neeeee" moment van de dag?

RocketKoen schreef op vrijdag 29 augustus 2014 @ 13:43:
[...]

XP is toch al niet meer secure.

Je kan wel zo'n houding aannemen maar afhankelijk van je publiek zijn daar nog genoeg gebruikers Plus, bij sommige proxy's die HTTPS intercepten werkt SNI ook niet.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 13:42:
Ok dus jullie stellen voor om HTTPS wel op een apart IP te laten draaien en dan alle websites via virtual hosting op 1 IP adres onder te brengen?

Dan hebben we in theorie maar 2 IP adressen nodig voor onze 20 websites?

Nee, HTTPS hoeft niet op een apart IP. Je hebt maar 1 IP-adres nodig voor 20 websites. Als je hoster zegt van niet is hij simpelweg incapabel of wil hij je geld aftroggelen voor extra IP-adressen.

HTTPS moet wel degelijk op een apart IP-adres wanneer je geen gebruik maakt van SNI. Zoals eerder ook al aangegeven.

Raar, daar heb ik echt nog nooit van gehoord.

Naast dat heel veel hosting panels (zoals het veel gebruikte DirectAdmin) uberhaubt niet toestaan om een SSL certificaat toe te voegen zonder dat het domein zijn eigen IP heeft. Ik snap alleen niet waarom jullie subdomeinen voor mobiel een eigen IP nodig hebben? Die kunnen toch een WildCard SSL certificaat delen met de hoofdsite en dus ook het zelfde IP Adres?

Compizfox schreef op vrijdag 29 augustus 2014 @ 13:52:
Raar, daar heb ik echt nog nooit van gehoord.

Nu wel dus. Het is ook logisch: HTTPS zorgt ervoor dat er eerst een beveiligde verbinding wordt opgezet voordat het HTTP request (met onder andere de essentiële host header) wordt verstuurd. Als SNI wordt gebruikt door de client, zegt de client feitelijk bij het opzetten van de verbindingen 'let op, ik ga example.com opvragen'.

De server kan de headers van het request (waaronder dus de hostname!) niet uitlezen voordat dit d.m.v. het certificaat decrypt is. Op dat moment weet je dus alleen het IP-adres en kun je nog geen name based virtual hosts gebruiken. Om het juiste certificaat te pakken moet je dit certificaat dus koppelen aan een IP-adres en niet aan een hostname.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 13:55:
Ik had eerst ook IPv6 voorgesteld maar de hoster zegt dat dit nog bij veel mensen niet werkt.
Ik dacht altijd dat het backwards compatible was?

Zeker niet. Je hebt een protocol voor IPV6 over IPV4 volgens mij maar als een ISP dat gewoon niet aanbied werkt het niet en daarmee sluit je volgens mij nog een best deel uit.
Ziggo klanten bijvoorbeeld.

[ Voor 9% gewijzigd door Verwijderd op 29-08-2014 13:56 ]

Nee, IPv6 is niet backwards-compatible. Als je je site alleen host op IPv6 kunnen mensen die geen IPv6 hebben (>95% van Nederland zeg maar) de site niet bereiken.

Sebazzz schreef op vrijdag 29 augustus 2014 @ 13:55:
[...]

Nu wel dus. Het is ook logisch: HTTPS zorgt ervoor dat er eerst een beveiligde verbinding wordt opgezet voordat het HTTP request (met onder andere de essentiële host header) wordt verstuurd. Als SNI wordt gebruikt door de client, zegt de client feitelijk bij het opzetten van de verbindingen 'let op, ik ga example.com opvragen'.

Is dat non-SNI niet iets van heel vroeger of zo? Want ik heb er nog nooit van gehoord en weet niet beter dan dat je prima 100 websites met HTTPS op 1 IP kan gooien. Met Apache wel, tenminste.

[ Voor 61% gewijzigd door Compizfox op 29-08-2014 14:02 ]

Verwijderd schreef op vrijdag 29 augustus 2014 @ 13:38:
Volgens onze hoster kan je op 1 IP adres niet meerdere websites draaien. Dus voor elk domein en elk subdomein hebben we een apart IP adres nodig.

Ook voor HTTPS is een apart IP nodig.

Ik had het idee om dan alles op HTTPS te gooien maar er wordt dan gezegd dat dit niet ideaal is voor de snelheid en load van de server. plaatjes, javascripts en css zouden dan te lang erover doen om te laden omdat ze niet gecached worden door browsers.

Als je deze info van je hoster hebt, zou ik eerder een andere hoster gaan zoeken. Eentje die wel kennis van zaken heeft en termen als virtual hosts ook kent.
Het is niet zo, dat doordat je dingen via HTTPS verstuurd, dat alles dan opeens langer duurt. Het probleem is alleen dat doordat alles versleuteld verstuurd wordt, een browser nooit kan cachen.Dat is een keuze die je maakt met SSL (HTTPS), wat je middels mod_inflate (als ik het me goed herinner) deels kan verkleinen.

[ Voor 18% gewijzigd door CH4OS op 29-08-2014 14:05 ]

Compizfox schreef op vrijdag 29 augustus 2014 @ 13:56:
Is dat non-SNI niet iets van heel vroeger of zo? Want ik heb er nog nooit van gehoord en weet niet beter dan dat je prima 100 websites met HTTPS op 1 IP kan gooien. Met Apache wel, tenminste.

Nee, IPv6 is niet backwards-compatible. Als je je site alleen host op IPv6 kunnen mensen die geen IPv6 hebben (>95% van Nederland zeg maar) de site niet bereiken.

SNI is nog niet volledig ondersteund door alle clients. Uit m'n hoofd ondersteunt o.a. Windows XP maar volgens mij ook Android 2.3 het niet. Beide worden toch nog redelijk veel gebruikt.

1 IP voor alle HTTPS domeinen is niet per se de beste oplossing. 1 IP per domein wat HTTPS aanbied is misschien beter, voornamelijk wanneer je certificaten met extended validation aanbied. Anders moet er dus één multi-domain certificaat komen voor alle domeinnamen waar je HTTPS voor aanzet. Een domein later toevoegen kan niet, en dat betekent dat je een nieuw certificaat moet aanschaffen..

JJerome schreef op vrijdag 29 augustus 2014 @ 14:00:
[...]


SNI is nog niet volledig ondersteund door alle clients. Uit m'n hoofd ondersteunt o.a. Windows XP maar volgens mij ook Android 2.3 het niet. Beide worden toch nog redelijk veel gebruikt.

Vreemd. Je wou dus zeggen dat mijn websites, die over HTTPS samen op één IP gehost worden, niet te bereiken zijn vanuit Windows XP en Android 2.3? Ik vind dit moeilijk te geloven, omdat je zou denken dat ik dat dan wel eerder gemerkt zou hebben.

En eh, is dit niet juist afhankelijk van de browser die je gebruikt ipv het OS? Of ga je hier met "Windows XP" er vanuit dat je ook IE6 gebruikt?

Nielsvr schreef op vrijdag 29 augustus 2014 @ 13:54:
Naast dat heel veel hosting panels (zoals het veel gebruikte DirectAdmin) uberhaubt niet toestaan om een SSL certificaat toe te voegen zonder dat het domein zijn eigen IP heeft.

DirectAdmin (en alle andere bekende software) ondersteunt dat prima, maar voor bijv. DirectAdmin moet je dit voor oudere installs nog aanzetten (enable_ssl_sni=1 in directadmin.conf).

SNI moet gewoon overal op zoveel mogelijk websites aangezet worden. Ik monitor het op een paar behoorlijk druk bezochte websites, het gaat bij iets minder dan 2% van de bezoekers fout. Op dat moment kun je als je de bezoekers écht niet wilt verliezen ook nog een onbeveiligde site aanbieden of een aparte pagina met foutmelding, de systemen die het niet ondersteunen zijn toch al zo lek als een mandje dus de gegevens van die (volkomen onwetende, maar dat terzijde) mensen liggen hoogstwaarschijnlijk toch al op straat.

Veel sites draaien al met SNI, ook steeds meer wat bekendere sites, de mensen die software zonder ondersteuning voor SNI gebruiken zullen dus ook zeker bekend zijn met de problemen en ze vaker tegenkomen.

De IPv4 adressen zijn gewoon te kostbaar om te verspillen aan zaken waarvoor het niet nodig is, zoals een apart IP per SSL certificaat of website. Sommige bedrijven zitten erom te schreeuwen, IPv6 gaat te traag en in datacenters betaal je al rustig 2,50 of zelfs meer voor een IPv4 adres per maand.

Of uiterlijk Internet Explorer 8.

JJerome schreef op vrijdag 29 augustus 2014 @ 14:00:
[...]


SNI is nog niet volledig ondersteund door alle clients. Uit m'n hoofd ondersteunt o.a. Windows XP maar volgens mij ook Android 2.3 het niet. Beide worden toch nog redelijk veel gebruikt.

Dat gaat ook nog wel even duren, dus je kan als websitemaker er ook voor kiezen het gewoon te forceren.
Alle platformen die actueel zijn ondersteunen het gewoon.
Het is een implementatie die een jaar of 10 geleden begonnen is. Als je nogsteeds op hardware of software zit die er niet mee om kan gaan, tjah... op een goed moment is dat maar gewoon jammer vind ik.

Compizfox schreef op vrijdag 29 augustus 2014 @ 14:05:
[...]

Vreemd. Je wou dus zeggen dat mijn websites, die over HTTPS samen op één IP gehost worden, niet te bereiken zijn vanuit Windows XP en Android 2.3?

*knip*

En eh, is dit niet juist afhankelijk van de browser die je gebruikt ipv het OS? Of ga je hier met "Windows XP" er vanuit dat je ook IE6 gebruikt?

Alle Internet Explorers op Windows XP ondersteunen niet SNI omdat het onderliggende SChannel systeem dat niet support. Zie ook Wikipedia: Server Name Indication

AtleX schreef op vrijdag 29 augustus 2014 @ 14:07:
[...]

Alle Internet Explorers op Windows XP ondersteunen niet SNI omdat het onderliggende SChannel systeem dat niet support. Zie ook Wikipedia: Server Name Indication

Aha, dat is duidelijker. Maar is de laatste IE op Windows XP niet sowieso erg outdated, wat resulteert in dat de meeste gebruikers van Windows XP sowieso een andere browser gebruiken?

AtleX schreef op vrijdag 29 augustus 2014 @ 14:07:
[...]

Alle Internet Explorers op Windows XP ondersteunen niet SNI omdat het onderliggende SChannel systeem dat niet support. Zie ook Wikipedia: Server Name Indication

Afgezien van het feit dat als je er op staat om op Windows XP te blijven dat je op zijn minst moet kiezen voor een moderne browser zoals Firefox waardoor het wel werkt.
Chrome weer niet volgens mij.

Compizfox schreef op vrijdag 29 augustus 2014 @ 14:09:
Aha, dat is duidelijker. Maar is de laatste IE op Windows XP niet sowieso erg outdated, wat resulteert in dat de meeste gebruikers van Windows XP sowieso een andere browser gebruiken?

Mensen met XP moeten sowieso een ander OS gaan gebruiken, willen ze over een paar jaar nog veilig op internet surfen.

Compizfox schreef op vrijdag 29 augustus 2014 @ 14:09:
[...]

Aha, dat is duidelijker. Maar is de laatste IE op Windows XP niet sowieso erg outdated, wat resulteert in dat de meeste gebruikers van Windows XP sowieso een andere browser gebruiken?

Privé misschien wel, maar zakelijk is de combinatie XP/IE8 nog steeds heel erg groot. Als daar je doelgroep zit zul je er toch rekening mee moeten houden.

In elk geval, ik begrijp het nu. Ik kon er al moeilijk bij dat SNI onder heel Windows XP niet zou werken. Zoals JJerome al zei zijn er nog best veel Windows XP-gebruikers.

Echter, het aantal gebruikers van IE onder Windows XP is vele malen lager, en dat is de reden dat ik het niet merk dat deze gebruikers mijn sites niet zullen kunnen bezoeken.

Nee, je hebt dan toch al 20 sites draaien in zowel een HTTP als HTTPS variant op elk een eigen IP?
Waarom zou een 21ste dan niet kunnen?

Verwijderd schreef op vrijdag 29 augustus 2014 @ 14:15:
[...]


Ok dus 1 IP adres per domein speciaal voor HTTPS en dan 1 IP adres waaronder ik meerdere HTTP sites host?

Dan heb ik in principe alleen een nieuw IP nodig elke keer als we een website erbij openen?

Dat is hoe wij het doen inderdaad.

Dat vraag hij niet

Hij vraagt waarom een 21 site niet bij het bestaande IP opkan, niet waarom een 21e IP niet kan

Maar eh, ik vind het eigenlijk nog steeds inefficient. Tenzij je doelgroep specifiek gebruikers zijn van IE onder Windows XP zou ik non-SNI support gewoon ditchen. Dan kun je alles op 1 IP doen ipv 20.

[ Voor 45% gewijzigd door Compizfox op 29-08-2014 14:24 ]

Ik vind het inderdaad ook slecht, dan moeten ze de prijzen van ipv4 adressen maar duurder maken .
Het is een kwestie van vraag en aanbod lijkt me het lijkt me een prima secure oplossing.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 14:25:
Omdat we het graag netjes willen gaan oplossen en herindelen.

Dan zou ik juist alles op 1 IP doen. Dat is echt netter dan 20 IPs.

De hoster beweert nu dat je wel meerder websites onder 1 IP kan laten draaien.
Maar wanneer je een subdomein gebruikt (bijv m.domein.nl ) dat die dan toch wel weer zijn eigen IP nodig heeft?

Onzin.

Je hoeft natuurlijk geen subdomein te gebruiken. Maak je website responsive, dan hoef je niet eens browserdetectie te doen. En als het echt moet: mobile in / uitschakelen met een cookie zoals op StackOverflow bijvoorbeeld.

Onzin. Er is geen verschil tussen www.domein.nl of m.domein.nl, het zijn beide subdomeinen van het domein. Kan hij www.domein.nl dan ook niet voor je op hetzelfde IP-adres als domein.nl zetten?

Je kunt niet een apart IP-adres instellen voor de HTTP en HTTPS variant. Het IP-adres is op het DNS niveau geregeld. Ze hebben dus gewoon één IP-adres per shop.

Je wil in jouw geval het volgende waarschijnlijk:

Alle sites die geen HTTPS gaan gebruiken kunnen één IP delen. <- Hier bespaar je dus een hoop IP-adressen mee, mits je niet voor al je websites HTTPS gaat gebruiken.

Elke site die wel HTTPS gaat gebruiken krijgt z'n eigen IP adres. <- Voor zowel HTTP als HTTPS.

Of je kiest voor de simpele variant en laat SNI aanzetten. Alles naar één IP-adres en accepteren dat sommige bezoekers (een steeds kleiner percentage) de HTTPS variant van je website niet kunnen bezoeken.

Je hebt 1 IP nodig per SSL certificaat, deze past hij namelijk toe (in IIS tenminste) voor elk domein op het IP. Indien je een Wildcard cert gebruikt heb je dus maar 1 IP nodig per hoofd domein.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:02:
elk domein een http adres en https. dus 2 IP adressen per website ( en ze hebben er nogal wat )

Die conclusie volg ik niet? Sowieso heb je voor HTTP & HTTPS verkeer op hetzelfde domein maar op z'n hoogst één IP-adres nodig en als Coolblue met SNI werkt zouden ze theoretisch al hun websites op één IP kunnen hosten.

Is overstappen op een andere hoster een optie?

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:15:
Dus als we onze site en een mobiele variant draaien, hebben we 1 IP voor regulier HTTP verkeer, 1 IP voor HTTPS en dat dan nogmaals voor het subdomein. dus 4 adressen per website..

Nee, 1 IP waarop je HTTP & HTTPS voor beide domeinen doet in combinatie met een multi-domain of ster-certificaat. Als je in je webserver configureert dat een site via HTTP en HTTPS bereikbaar is onder de hostnames voor de normale site en de mobiele site heb je echt niet meer dan één IP nodig.

Even een overzicht voor je, als je geen SNI gebruikt en 2 certificaten per domain:

1. Domein Certificaat domein.nl (meestal krijg je bij zo'n certificaat ook het www subdomein erbij)
2. Domein Certificaat m.domein.nl

OF

1. Wildcard Certificaat *.domein.nl (maar een wildcard certificaat is meestal wel een stuk duurder)

Dus:

1. 1 IP adres voor ALLE domeinen zonder SSL.
2. 1 IP adres per certificaat (je kan zelfs het bovengenoemde IP adres hergebruiken voor 1 certificaat ). Dat is dus 2 IP adressen met een Domein Certificaat of 1 met een Wildcard Certificaat.

Dus zonder SNI, met 2 certificaten per domein omdat je een subdomein gebruikt, heb je 2 IP adressen nodig. Voor elke volgende website heb je ook 2 extra IP adressen nodig voor de extra certificaten.

En met SNI heb je genoeg aan 1 IP adres voor ALLE domeinen/certificaten, omdat de server weet welk certificaat hij moet aanleveren aan de browser omdat deze de domeinnaam meestuurt met de SSL handshake (wat dus alleen gebeurd met SNI).

Zo... hopen dat ik het duidelijk heb uitgelegd. Het kan wat verwarrend zijn, maar zodra je doorhebt hoe het precies werkt is het eigenlijk best simpel.

EDIT: en ja, ik had het ook fout. Had er even geen rekening mee gehouden dat je in je DNS natuurlijk maar 1 IP adres kan opgeven en rekende een IP adres teveel. Heb ik nu aangepast.

[ Voor 11% gewijzigd door Xpoint op 29-08-2014 16:05 . Reden: Foutieve informatie verbeterd ]

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:36:
[...]


Ok dus stel ik tik www.abc.nl in.
De DNS server geeft een IP adres en mijn hoster leest de de HTTP header en weet dat ik bij abc.nl moet zijn.

Als ik www.123.nl intik kan die op hetzelfde IP adres bereikbaar zijn maar mijn hoster ziet aan de header dat ik op 123.nl moet zijn en niet op abc.nl


Vervolgens ga ik afrekenen en moet ik op het HTTPS gedeelte komen. Dat kan dan gewoon op hetzelfde IP adres? en hetzelfde geldt voor een eventueel subdomein als m.123.nl ?

Klopt.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:36:
[...]


Ok dus stel ik tik www.abc.nl in.
De DNS server geeft een IP adres en mijn hoster leest de de HTTP header en weet dat ik bij abc.nl moet zijn.

Als ik www.123.nl intik kan die op hetzelfde IP adres bereikbaar zijn maar mijn hoster ziet aan de header dat ik op 123.nl moet zijn en niet op abc.nl


Vervolgens ga ik afrekenen en moet ik op het HTTPS gedeelte komen. Dat kan dan gewoon op hetzelfde IP adres? en hetzelfde geldt voor een eventueel subdomein als m.123.nl ?

Dit hangt er dus van af of SNI aan staat of niet. Als een browser verbind over HTTPS moet hij eerst de beveiligde verbinding opzetten met een SSL handshake (en dat staat los van HTTP) en hier beschikt de server dus nog niet over de HTTP headers waar de hostname in staat, enkel het IP adres. Zo weet de server dus niet welk certificaat hij moet terugsturen. Maar de server weet wel het IP adres en kun je dus 1 certificaat per IP koppelen.

Met SNI ingeschakeld wordt de hostname meegestuurd in de SSL handshake en kan de server wel het juiste certificaat meesturen, onafhankelijk van het IP adres.

En nog een toevoeging op m'n vorige post:
Ik noemde dat je daar het IP adres kan hergebruiken als je geen HTTPS gebruikt. Dat klopt wel en toch weer niet. Theoretisch kan het, maar je kunt maar 1 IP adres aan je domein koppelen met DNS. Dus je moet dan het IP adres van je eerste certificaat gebruiken omdat die toch allebei naar hetzelfde domein verwijzen.

[ Voor 13% gewijzigd door Xpoint op 29-08-2014 15:49 . Reden: Extra informatie ]

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:48:
@Xpoint

Aha, dat bevestigd dus mijn eerder vraag die ik net voor je plaatste.
SNI is dus noodzakelijk om me naar het juiste domein te sturen wanneer ik HTTPS gebruik.

Klopt. Je hebt dus OF SNI nodig, OF een los IP adres per certificaat/domein.

Ik zelf vraag nog altijd een nieuw IP adres aan per certificaat, maar afhankelijk van je doelgroep kun je natuurlijk beter SNI gebruiken. De vraag is alleen of je hosting dit toelaat/ondersteund.

los van alles, lijkt het nu net dat je verplicht een apart ip-adres voor ssl nodig hebt wat niet altijd is.

Ik heb ook gewoon blade server
- 1 ip adres
- 1 comodo certificaat (www. en zonder www.)

en de webserver nginx luistert gewoon naar https en http.

de scheiding zit gewoon in dit geval in nginx config bestand en niks met ipadressen.

JJerome schreef op vrijdag 29 augustus 2014 @ 13:55:
De server kan de headers van het request (waaronder dus de hostname!) niet uitlezen voordat dit d.m.v. het certificaat decrypt is. Op dat moment weet je dus alleen het IP-adres en kun je nog geen name based virtual hosts gebruiken. Om het juiste certificaat te pakken moet je dit certificaat dus koppelen aan een IP-adres en niet aan een hostname.

Daar is dus SNI (Server Name Indication) voor. Je client geeft dan al in de TLS negotiation aan welke hostname 'ie op aan het zoeken is, en de server kan daar dan een passende cert bij zoeken.

SNI is redelijk nieuw en is gekomen als antwoord op het probleem van het nodig hebben van een IP-adres per vhost wat je bij SSL traditioneel had.

Aan TS dus: wat je schrijft is compleet onzin dat kan allemaal prima met één IP-adres. Zeker als 't over niet-ssl sites gaat.

[ Voor 7% gewijzigd door CyBeR op 29-08-2014 15:56 ]

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:52:
SNI is geen optie voor ons omdat we veel windows XP bezoekers hebben.

Maar dat betekent dus 1 IP aanvragen per certificaat en dan met wildcard gaan werken, extra kosten is niet echt een probleem.

Ik neem aan dat al die 20 websites een eigen domein hebben? Dan zul je inderdaad toch met 20 wildcard certificaten moeten werken (en dus 20 IP adressen).

Of 40 domein certificaten en 40 IP adressen (2 certificaten per domein, root en m. subdomein).

Of je doet een multi-domain certificaat. Dan kan alles onder 1 IP adres, maar dat moet je hosting dan wel ondersteunen. En is het achteraf lastig een nieuw domein toe te voegen zonder het certificaat opnieuw aan te vragen, dus niet echt kost effectief.

Maar om terug te komen op je OP: je hebt dus niet 4 IP adressen per website nodig, maar hoogstens 2 of minder.

[ Voor 6% gewijzigd door Xpoint op 29-08-2014 16:01 . Reden: Reactie op OP ]

CyBeR schreef op vrijdag 29 augustus 2014 @ 15:55:
[...]


Daar is dus SNI (Server Name Indication) voor. Je client geeft dan al in de TLS negotiation aan welke hostname 'ie op aan het zoeken is, en de server kan daar dan een passende cert bij zoeken.

SNI is redelijk nieuw en is gekomen als antwoord op het probleem van het nodig hebben van een IP-adres per vhost wat je bij SSL traditioneel had.

Aan TS dus: wat je schrijft is compleet onzin dat kan allemaal prima met één IP-adres. Zeker als 't over niet-ssl sites gaat.

Dat is al meerdere keren, ook door mij, aangegeven. Lees even het topic door voordat je de TS weer in de war brengt ;-)

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:44:
[...]


Ok lijkt mij dus duidelijk. Alleen wat ik me dan afvraag.
Ik ga vanaf de HTTP pagina naar de HTTPS pagina. Mijn browser stuurt het verzoek naar de DNS server, die geeft mij het IP adres weer en vervolgens ga ik met dat IP adres naar de hoster. Echter omdat ik nu HTTPS gebruik kan hij de header niet lezen en me dan toch niet naar het juiste domein/pagina leiden?

Gewoon vanaf je HTTP naar HTTPS link een andere poort gebruiken.
Bijv 443 voor site A, 444 voor site B, 445 voor site C, enz.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 15:52:
SNI is geen optie voor ons omdat we veel windows XP bezoekers hebben.

Maar dat betekent dus 1 IP aanvragen per certificaat en dan met wildcard gaan werken, extra kosten is niet echt een probleem.

Maar gebruiken die bezoekers ook allemaal IE? Die kans lijkt me best klein, tenzij het om een bepaalde bedrijfsomgeving gaat oid die per se IE op Windows XP moeten gebruiken.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 16:14:
[...]
Wat is het verschil tussen domein en wildcart certificaat precies?

Een normaal certificaat geldt voor één domein, soms nog met een gratis subdomein erbij. Voorbeeld: example.com en www.example.com.

Een wildcard-certificaat geldt voor een domein plus alle subdomeinen. Voorbeeld: example.com en *.example.com. Een wildcard-certificaat is dan ook flink duurder; normale certificaten zijn zelfs gratis te vinden maar een wildcard-certificaat krijg je niet goedkoper dan voor zo'n €75 per jaar.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 16:14:
[...]


Ja alle websites hebben een eigen domein. Multi-domain wordt lastig omdat we de komende tijd alleen maar meer websites gaan lanceren.

Wat is het verschil tussen domein en wildcart certificaat precies?

Een domein certifcaat werkt maar voor 1 domein, zoals voorbeeld.nl of m.voorbeeld.nl. Meeste providers geven je een extra domein in het certificaat als je hem besteld voor je root domein, zoals voorbeeld.nl. Dan geven ze je het www subdomein erbij. Maar dan heb je nog steeds een domein certificaat nodig voor m.voorbeeld.nl.

Een wild certificaat werkt in princiepe voor ALLES wat je voor je domein plaatst (subdomeinen). Het werkt dus voor www.voorbeeld.nl, maar ook voor m.voorbeeld.nl, of checkout.voorbeeld.nl. En ook hier geven meeste leveranciers een extra domein erbij zodat ook gelijk je root domein gedekt is (voorbeeld.nl) met het certificaat.

Hierdoor heb je dus maar 1 wildcard certificaat nodig, tegenover 2 domein certificaten. Dit heeft natuurlijk alleen betrekking op jouw huidige situatie.

Edit: wat Compizfox zegt dus.

1 IP adres, HTTP verkeer gaat via hetzelfde IP adres als HTTPS. Hiermee heb je dus alles geregeld, inclusief toekomstige subdomeinen. Deze gaan allemaal via hetzelfde certificaat en IP adres.

[ Voor 50% gewijzigd door Xpoint op 29-08-2014 16:26 ]

HTTPS gaat altijd al over een andere poort.

HTTP gaat over poort 80, HTTPS over poort 443. Dat kan niet over dezelfde poort omdat HTTPS namelijk HTTP encapsulated in SSL is en niet andersom.

Verwijderd schreef op vrijdag 29 augustus 2014 @ 16:24:
Ok dus SNI is uitgesloten omdat we teveel XP gebruikers met IE hebben helaas.

Wilcard gebruiken omdat de kosten niet belangrijk zijn.

En dan houden we dus in principe 2 IP adressen over per website?
1 IP voor normaal HTTP verkeer, en 1 voor HTTPS.

met behulp van wildcard ondervang ik dat eventuele subdomeinen? of moet ik dan voor zowel HTTP als HTTPS een apart certificaat kopen?

Je hebt het volgende nodig als je geen SNI wilt gebruiken:

- 1 IP voor al het HTTP-verkeer
- 1 IP per domein dat HTTPS gebruikt, aannemend dat je voor elk domein een wildcard-certificaat koopt

Dat is dus niet 2 IPs per site; het is één IP per domein + 1 algemeen IP.

Wacht, dat klopt niet. Je hebt maar één IP per domein nodig. HTTP verkeer gaat over datzelfde IP, maar over een andere poort.

Voor HTTP heb je geen certificaten. Dat is juist HTTPS.

[ Voor 105% gewijzigd door Compizfox op 29-08-2014 16:34 ]

HellStorm666 schreef op vrijdag 29 augustus 2014 @ 16:18:
[...]


Gewoon vanaf je HTTP naar HTTPS link een andere poort gebruiken.
Bijv 443 voor site A, 444 voor site B, 445 voor site C, enz.

Technisch zou dit kunnen werken, maar lijkt me een erg slecht idee. Ten eerste kun je meestal niet je poorten kiezen bij een hosting bedrijf. Verder heb ik geen idee wat voor gevolgen dit heeft voor meeste bezoekers, maar denk aan firewall problemen e.d..

Voor publieke services, zoals HTTP en HTTPS, kun je maar beter bij de default poorten blijven.

Verder heb ik eigelijk geen argumentatie voor dit, heb het nooit geprobeerd. Maar dit lijkt me alleen een oplossing voor interne websites oid. Maar daar zou ik toch SNI gebruiken.

Compizfox schreef op vrijdag 29 augustus 2014 @ 16:28:
[...]

Je hebt het volgende nodig als je geen SNI wilt gebruiken:

- 1 IP voor al het HTTP-verkeer
- 1 IP per domein dat HTTPS gebruikt, aannemend dat je voor elk domein een wildcard-certificaat koopt

Dat is dus niet 2 IPs per site; het is één IP per domein + 1 algemeen IP.

Voor HTTP heb je geen certificaten. Dat is juist HTTPS.

Dat kan prima onder 1 IP adres. Verder kun je toch niet een 2e IP adres configureren in je DNS (Naja, het kan wel, maar je kan niet aangeven welk IP adres voor welk protocol bedoeld is met een A record).

[ Voor 29% gewijzigd door Xpoint op 29-08-2014 16:33 ]

Dat kan prima onder 1 IP adres. Verder kun je toch niet een 2e IP adres configureren in je DNS (Naja, het kan wel, maar je kan niet aangeven welk IP adres voor welk protocol bedoeld is met een A record).

Check. Zie edit

Compizfox schreef op vrijdag 29 augustus 2014 @ 16:36:
[...]

Check. Zie edit

Ik maakte in m'n eerste reactie dezelfde fout.

JJerome schreef op vrijdag 29 augustus 2014 @ 16:11:
[...]


Dat is al meerdere keren, ook door mij, aangegeven. Lees even het topic door voordat je de TS weer in de war brengt ;-)

Dat heb ik gedaan, en daarin wordt meerdere keren, waaronder door jou, gezegd dat je voor SSL een IP per cert nodig hebt. Dat is niet waar.

Als je IE6 wilt ondersteunen wel maar dat is gewoon echt onzin en moet je niet meer doen.

Verder valt er weinig te verwarren. Er is heden ten dage geen reden meer om niet te virtualhosten.

[ Voor 9% gewijzigd door CyBeR op 29-08-2014 16:42 ]

tweakurr had duidelijk aangegeven dat SNI geen optie is, juist vanwege klanten met Windows XP en IE6. Vervelend, maar daar doe je nou eenmaal niets aan. Wij proberen dus inhoudelijk een antwoord te geven op de situatie. De oplossing met SNI is bekend, maar gaat tweakurr niet verder helpen. Vandaar dat het verhaal van 1 IP per SSL certificaat wordt genoemd, wat in deze context juist correct is. Nog een keer SNI noemen is dan inderdaad juist verwarrend, want je ziet door de bomen het bos niet meer (in dit geval de grote hoeveelheid reacties).

[ Voor 22% gewijzigd door Xpoint op 29-08-2014 16:48 ]

Xpoint schreef op vrijdag 29 augustus 2014 @ 16:46:
tweakurr had duidelijk aangegeven dat SNI geen optie is, juist vanwege klanten met Windows XP en IE6. Vervelend, maar daar doe je nou eenmaal niets aan. Wij proberen dus inhoudelijk een antwoord te geven op de situatie. De oplossing met SNI is bekend, maar gaat tweakurr niet verder helpen. Vandaar dat het verhaal van 1 IP per SSL certificaat wordt genoemd, wat in deze context juist correct is. Nog een keer SNI noemen is dan inderdaad juist verwarrend, want je ziet door de bomen het bos niet meer (in dit geval de grote hoeveelheid reacties).

Soms moet je mensen ook adviseren om geen domme dingen te doen. IE6 ondersteunen valt eigenlijk altijd onder 'domme dingen doen'.

CyBeR schreef op vrijdag 29 augustus 2014 @ 16:55:
[...]
Soms moet je mensen ook adviseren om geen domme dingen te doen. IE6 ondersteunen valt eigenlijk altijd onder 'domme dingen doen'.

voor IE 8 op xp (die ook geen sni kan) is nog ondersteuning te krijgen via microsoft. (mits je tijdig bent mee ingestapt in het ondersteuningsprogramma)

En leg jij het aan managment uit dat ze x bestellingen (en dus omzet/winst) mislopen omdat 'ie 6/8 ondersteunen dom is' ?

[ Voor 6% gewijzigd door roeleboel op 29-08-2014 16:58 ]

CyBeR schreef op vrijdag 29 augustus 2014 @ 16:42:
[...]


Dat heb ik gedaan, en daarin wordt meerdere keren, waaronder door jou, gezegd dat je voor SSL een IP per cert nodig hebt. Dat is niet waar.

Als je IE6 wilt ondersteunen wel maar dat is gewoon echt onzin en moet je niet meer doen.

Verder valt er weinig te verwarren. Er is heden ten dage geen reden meer om niet te virtualhosten.

We geven al vanaf het begin aan dat het niet noodzakelijk is, maar wel aan te raden wanneer je geen gebruikers wil uitsluiten.

Het gaat overigens niet alleen om IE6, maar om alle IE versies op XP. Daarnaast volgens mij ook Android 2.* tot Android 4.0 die het niet ondersteunt.

[ Voor 45% gewijzigd door JJerome op 29-08-2014 16:59 ]

JJerome schreef op vrijdag 29 augustus 2014 @ 16:58:
[...]
Daarnaast volgens mij ook Android 2.* tot Android 4.0 die het niet ondersteunt.

Ho even, dat klopt niet. Dat zou ook een stuk groter probleem zijn dan IE onder Windows XP.

Vanuit Wikipedia:

Android 2.3 (Gingerbread) has partial support if application uses HttpsURLConnection class.[39]

Android heeft dus support vanaf 2.3, mits de app goed geschreven is. Alles daarboven heeft sowieso support. Als ik het goed begrijp heeft Android 2.2 en lager dus geen support.

---

@CyBeR: Je hebt gelijk en ik ben het helemaal met je eens, maar soms is het niet anders. Het marktaandeel IE-gebruikers-onder-WinXP is zelfs zo klein dat ik, voor het lezen van dit topic, er niet eens van op de hoogte was dat XP geen SNI ondersteunt, laat staan dat er zoiets was als non-SNI (ik ben simpelweg nooit iets anders gewend). Ik heb dus weer iets bijgeleerd

[ Voor 23% gewijzigd door Compizfox op 29-08-2014 17:16 ]

Verwijderd schreef op vrijdag 29 augustus 2014 @ 17:03:
Ik zou dolgraag SNI gebruiken, maar als ik die bezoekers ga uitsluiten lopen we duizenden euro's mis. Kan ik inderdaad niet riskeren. Ik zie wel dat elke maand het aantal gebruikers met de combi XP/IE terugloopt, maar nog steeds teveel omzet om ze te negeren.

Ik heb er echt moeite mee te geloven dat jouw shop nog zoveel klanten op XP heeft dat je 'duizenden euro's' misloopt. Wat is je target audience? Bejaarden?

Compizfox schreef op vrijdag 29 augustus 2014 @ 17:03:
[...]

Ho even, dat klopt niet. Dat zou ook een stuk groter probleem zijn dan IE onder Windows XP.

Vanuit Wikipedia:

[...]

Android heeft dus support vanaf 2.3, mits de app goed geschreven is. Alles daarboven heeft sowieso support. Als ik het goed begrijp heeft Android 2.2 en lager dus geen support.

Android wel, maar de standaard browser niet ;-)

Verwijderd schreef op vrijdag 29 augustus 2014 @ 17:14:
ik ga weekend vieren en even stoppen met nadenken.

Iedereen heel erg bedankt voor de hulp en het meedenken, wordt heel erg gewaardeerd!

Geniet van je weekend, hier is het ook tijd om de BBQ aan te steken.
Als je nog vragen hebt horen we het wel.

CyBeR schreef op vrijdag 29 augustus 2014 @ 17:06:
Wat is je target audience? Bejaarden?

Ik vind de hautaine reacties op GoT altijd wel grappig als er weer iemand durft te bekennen dat ze nog op XP zitten...

Firefox en Chrome op WinXP doen wel SNI.

je kunt wel degelijk certificaten kopen die meerdere (sub)domeinen ondersteunen. en http en https op een IP is ook geen enkel probleem. maar waarom forceer je https niet? als je zorgt dat je een geldig domein certificaat hebt, is dat alleen maar beter.

Multidomain certificaat dat ik zelf gebruik:
https://www.geotrust.com/ssl/ssl-certificates-san-uc/

er draaien meerdere domeinen op hetzelfde IP. het certificaat is geldig voor alle, en een scriptje bepaalt welke site ze voorgeschoteld krijgen aan de hand van het domein.

Lees het topic nou eens door aub. TS wil geen SNI gebruiken omdat IE onder WinXP dat niet ondersteunt, dus domein moet op een apart IP in dat geval.

er draaien meerdere domeinen op hetzelfde IP. het certificaat is geldig voor alle, en een scriptje bepaalt welke site ze voorgeschoteld krijgen aan de hand van het domein.

Een scriptje? Lolwut? Welke webserver gebruik jij? Apache2 heeft gewoon ingebouwde functionaliteit daarvoor (VirtualHosts)

SNI is niet nodig voor de oplossing die ik aanbied. het is 1 certificaat.

en waarom ik een scriptje gebruik? ik gebruik IIS, host nogal wat .net applicaties...