https für mehrere Web-Projekte mit nur einer IP

Beim Webhosting ist oft ein einzelner Server für mehrere Kunden zuständig. Dies ist über Vhosts problemlos möglich. So betreibe ich auch auf meinem Root-Server mehrere Webseiten. Jedoch wird in der Regel nicht jeder Präsenz eine eigene IP-Adresse zugeteilt – was auch nicht notwendig ist. Spätestens wenn man seine Seiten verschlüsselt über https anbieten möchte kommt es allerdings zu Problemen.

Die notwendigen Informationen für die Verschlüsselung werden klassischerweise ausgetauscht bevor der Webserver weiß welche Seite abgerufen wird. Folglich kann hier nur ein Zertifikat zum Einsatz kommen, was zu Fehlermeldungen führen wird. (mehr über https bei Wikipedia)

Diesen Zustand habe ich bisher akzeptiert. Doch es geht auch anders: im Wiki von CACert findet man die Seite VhostTaskForce. Hier werden verschiedene Möglichkeiten vorgestellt wie das Problem für Vhosts gelöst werden kann.

Besonders interessant finde ich TLS SNI (Server Name Indication). Hierbei können tatsächlich unterschiedliche Zertifikate über eine IP-Adresse genutzt werden. In Paul’s Journal gibt es einen schönen Artikel zu diesem Thema.

Dennoch habe ich mich für eine andere Lösung entschieden: ein Zertifikat mit einem Common Name und mehreren Subject Alt Names. Diese Lösung bietet die größte Kompatibilität, wie ein Chart im CACert Wiki zeigt. Worauf man achten sollte ist hier beschrieben.

Nachteil dieser Lösung: Sobald eine neue Domain SSL-tauglich gemacht werden soll muss ein neues Zertifikat erstellt werden.