Mehrere SSL-Zertifikate auf einer IP-Adresse

Die Nachfrage nach SSL-Sicherheit steigt, aber die Zahl der verfügbaren IP-Adressen nimmt ab. Aus diesem Grund beschreiben wir hier eine Reihe von Lösungen zur Sicherung mehrerer Domänennamen auf einer einzigen IP-Adresse.

Jedes SSL-Zertifikat erfordert standardmäßig eine eindeutige IP-Adresse. IPv4-Adressen werden immer knapper, und IPv6 als der beabsichtigte Nachfolger ist noch keine vollständige Alternative. Viele Websites teilen sich daher über das namensbasierte Hosting die gleiche IP-Adresse. Die Identifizierung der richtigen Website erfolgt anhand des Namens im Host Header. Da die Einrichtung der SSL-Verbindung früher erfolgt, müssen Domainnamen mit derselben IP-Adresse in dieser Situation dasselbe Zertifikat verwenden.

Server Name Indication (SNI)

SNI ist eine Technik, die auf einem Server verwendet werden kann und daher kein spezielles SSL-Zertifikat erfordert.

Server Name Indication ist eine Erweiterung von SSL und TLS, die seit 2003 verfügbar ist. SNI gibt zu Beginn des 'Handshakes' an, mit welchem Hostnamen sich ein Browser verbindet. Dadurch ist es dem Server möglich, mehrere Zertifikate vorzulegen. SNI ist noch nicht weit verbreitet, da einige ältere Browser/Systeme diese Technik nicht unterstützen. Wenn nur die SNI verwendet wird, wird eine Website für etwa 15% der Benutzer eine Fehlermeldung ausgeben.

Mehrdomänen-Zertifikat (MDC)

Ein Multi-Domain-Zertifikat kann mehrere Domainnamen umfassen, bis zu einem Maximum von etwa 100 Domains pro Zertifikat. Der große Vorteil eines MDC ist, dass dieses Zertifikat auf allen Validierungsebenen verfügbar ist und auf allen Browsern/Systemen funktioniert, so dass keine Besucher ausgeschlossen sind. Es gibt jedoch auch Bedingungen, die ein MDC nicht für jede Situation geeignet machen:

  • Jeder Domainname ist sichtbar im Zertifikat enthalten. Wenn sich die Websites A, B und C ein MDC teilen, wird ein Besucher der Website A daher auch die Domain-Namen der Websites B und C sehen, sobald er sich das Zertifikat ansieht.
  • Es kann nur ein Organisationsname in das Zertifikat aufgenommen werden. Bei Zertifikaten mit Firmendaten (Organisation und Extended Validation) müssen alle Domainnamen den gleichen Domaininhaber haben.

Eine Kombination

Durch die Kombination von SNI mit einem MDC ist es möglich, mehrere Zertifikate auf einer einzigen IP-Adresse zu verwenden, während die Websites für Besucher ohne SNI-Unterstützung zugänglich bleiben. Dies funktioniert wie folgt:

  • Jede Website wird mit einem eigenen SSL-Zertifikat auf Basis von SNI versehen. Dadurch ist es beispielsweise für Website A möglich, ein EV-Zertifikat von Sectigo (ehemals Comodo) mit sichtbaren Firmennamen zu verwenden, und für Website B, eine Thawte Wildcard zu verwenden.
  • Um die Websites für Browser/Systeme ohne SNI-Unterstützung zugänglich zu halten, wird ein Multi-Domain-Zertifikat ohne Firmeninformationen verwendet. Dieses Zertifikat enthält die Informationen des Serveradministrators im Betreff und einen Subject Alternative Name für jede SSL-gesicherte Website auf der IP-Adresse. Besucher ohne SNI-Unterstützung können auch eine sichere Verbindung nutzen.

MDC anfragen

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up