Выделенный IP и SSL-сертификат (проблема со SNI)

F1
На сайте с 23.05.2018
Offline
30
2922

Здравствуйте, друзья!

Сразу скажу, что мои знания обо всем, что связано с системой устройства хостинга, довольно поверхностны, поэтому хотелось бы услышать спецов по следующему вопросу.

Сознательно не буду называть компании, чтобы не делать кому-то рекламу или антирекламу. Итак.

Был на виртуальном хостинге у одного из провайдеров. Приобрел платный SSL thawte и попросил приаттачить его к домену. Сделали. В .htaccess прописал 301-й редирект, чтобы доступ был только по SSL. Захожу на сайт со своего старенького мобильного и бац - не открывается! Начинаю изучать тему и выясняется, что есть такое понятие как SNI. То есть, сайт откроется на устаревших браузерах (кроме IE на XP, так как SNI там вообще не поддерживается) только в случае если сайт живет на выделенном IP. ОК. Заказываю выделенный IP, в панели управлении появилась строчка типа "SSL+IP". Лезу в мобильник, действительно все открывается. Замечу попутно, что свой SSL можно было поставить и на выделенный IP, и на общесерверные, но чтобы сайт открывался по SNI, необходим именно выделенный IP, что понятно.

Через какое-то время ухожу к другому хостинг-провайдеру, повторяя все описанные действия (то есть, заказываю выделенный IP, к нему прилинковываю домен и ставлю свой SSL). И вот тут-то начался просто ад. Во-первых, пинг с 12-13 ms превратился в 53-54 ms. Скачать один мизерный PDF размером 4 Мб заняло около 40 секунд! При заходе через мой мобильный сайт не открывается в отличие от первого хостера. Отказываюсь от выделенного IP, снимаю платный SSL: остаюсь на IP провайдера и беру их бесплатный Let'sEncrypt. Все снова стало летать, но ни о каком SNI не может быть и речи.

Позвонил еще двум провайдерам и рассказал о вышеописанном. "Нет, у нас тоже так не будет работать". То есть, открыть сайт ПО IP-адресу можно (в случае заказа выделенного IP), но в строчке браузера будет перечеркнутый замок и сообщение о том, что "Сайт не защищен".

Для меня очень принципиально использование SNI. Может быть есть у кого мысли, почему у первого провайдера все это работало прекрасно (я мог зайти и по имени домена, и по IP-адресу и все прекрасно открывалось без всяких перечеркнутых замков, а также на мобильном), а остальные провайдеры этого не могут? Хотя бы в теории хотелось бы понимать, что у них настроено иначе, чем у первого провайдера. Есть ли какое-то решение этого вопроса?

lealhost
На сайте с 07.06.2014
Offline
136
#1
fmd1:
но чтобы сайт открывался по SNI, необходим именно выделенный IP, что понятно.

Если по-простому, SNI - это расширения для обеспечения работы сертификатов с "общими" IP-адресами, а не с выделенными.

То есть ваш сайт будет открываться с IE на Windows XP, по протоколу HTTPS с выделенным IP. Есть там поддержка SNI или нет — не важно. Важен только сертификат, например, Let's Encrypt старые браузеры не увидят.

fmd1:

Для меня очень принципиально использование SNI. Может быть есть у кого мысли, почему у первого провайдера все это работало прекрасно (я мог зайти и по имени домена, и по IP-адресу и все прекрасно открывалось без всяких перечеркнутых замков, а также на мобильном), а остальные провайдеры этого не могут? Хотя бы в теории хотелось бы понимать, что у них настроено иначе, чем у первого провайдера. Есть ли какое-то решение этого вопроса?

Если вы заходите по протоколу HTTPS на IP-адрес, то будет подгружен ваш SSL-сертификат ДЛЯ ДОМЕНА. Но IP-адрес нельзя вписать в SSL-сертификат (вообще, в какие-то можно, но это не ваш случай). Соответственно, любой браузер покажет сообщения о том, что "соединение не защищено" и "ваши данные могут похитить" + тот самый красный замочек.

Может быть есть у кого мысли, почему у первого провайдера все это работало прекрасно (я мог зайти и по имени домена, и по IP-адресу и все прекрасно открывалось без всяких перечеркнутых замков, а также на мобильном), а остальные провайдеры этого не могут?

Видимо, когда вы переходили по IP-адресу, вы переходили по HTTP-протоколу. Другого объяснения найти не могу :)

Как у вас настроена переадресация на тот или иной протокол? Без дополнительной информации сложно что либо подсказать.

cloud-shield
На сайте с 25.01.2017
Offline
54
#2

Воспользуйтесь тестом от ssllabs.com для проверки настроек и того, где откроется а где нет.

Увеличение пинга и низкая скорость на выделенном IP это вообще нонсенс.

fmd1:
Для меня очень принципиально использование SNI

Из вашего поста следует, что вы не до конца поняли что такое SNI и как работает. Скорректирую вас: вам принципиально, чтобы https работал без использования SNI, т.к. у вас устаревшие клиенты, которые его не умеют.

Кстати, в контексте вашего кейса еще сталкивались с тем, что некоторые клиенты настраивают свой веб-сервер (ssl ciphers) так, что он не поддерживает необходимые шифры (т.к. они стали недостаточно стойкими) для старых веб-клиентов, из-за чего последние при попытках подключения выдают ошибки .

Защита сайтов от DDoS атак - Cloud-Shield.ru ( https://cloud-shield.ru )
F1
На сайте с 23.05.2018
Offline
30
#3

Нет-нет-нет, друзья, все не так. Меня здесь в очередной раз пытаются убедить, что мне все приснилось😂

Еще раз о первом провайдере, у которого все работало.

1. Сначала был куплен SSL-сертификат.

2. Затем он был добавлен на площадку хостинга на общесерверные IP. Сайт перестал открываться в WinXP на IE, который стоял у меня тогда, и перестал открываться на устаревшем браузере мобильника.

3. Прошло несколько дней. Меня такое положение дел не устроило, я заказываю выделенный IP. Как уж и к чему они там прикрепили SSL (сертификат к IP или еще как), я не знаю, но факт остается фактом:

а) я смог открыть сайт ПО IP БЕЗ РЕДИРЕКТА на доменное имя; сайт открывался по https, в адресной строчке было типа такого: https://217.21.0.124. При этом в Хроме замечательно отображался зеленый замок и надпись "Защищено".

б) а вот при заходе с мобильного, если ввести только IP-адрес в адресную строчку (без указания типа протокола), открывался домен, опять же в защищенном режиме.

в) сайт не открылся в IE на XP, но на XP по SNI открываются только очень крупные сайты (типа Яндекса), мой так и не открылся.

Вот цитата, которая нашлась на сайте одного из хостинг-провайдеров:

БРАУЗЕРЫ ПОДДЕРЖИВАЮЩИЕ SNI
БРАУЗЕРЫ ПК:
Internet Explorer 7 либо более поздние версии
Firefox 2
Opera 8 c TLS 1.1
Google Chrome:
Поддерживается на Windows XP, на Chrome 6 и более поздних версиях
Поддерживается на Vista и поздних версиях по умолчанию
OS X 10.5.7 в Chrome версии 5.0.342.0 и выше
Safari 2.1 и поздние версии (требует OS X 10.5.6 и выше или Windows Vista и выше).

Примечание: ни одна из версий Internet Explorer под Windows XP не поддерживает SNI.

МОБИЛЬНЫЕ БРАУЗЕРЫ:
Мобильная версия Safari для iOS 4.0
Android 3.0 (Honeycomb) и более поздние версии
Windows Phone 7

Я очень хочу доказать вам, что мне это не приснилось, но для этого мне нужно:

1. Купить виртуальный хостинг у того провайдера, о котором я говорю (теста там нет)

2. Купить сертификат (минимальная цена на thawte - 1800 в год)

3. Купить выделенный IP.

Конечно, можно это все заказать, потом откатить и попросить назад деньги, но делать это все ради минутного суть развлечения мне совсем не хочется. Если у кого будет желание убедиться в правдивости моих слов, скину в личку название хостера.

---------- Добавлено 25.05.2018 в 02:21 ----------

Вот.

Вбиваем в Хром (без указания протокола, только цифры): 148.251.3.118. Идет редирект на сайт с SSL. Как мне сделать так же?

E
На сайте с 19.10.2015
Offline
80
#4
fmd1:
Как мне сделать так же?

Настраивается редирект на nginx или apache, чтобы с IP адреса был переброс на сайт с HTTPS, ничего сложного в этом нет.

На сколько мне известно, покупается VDS, ставится любая панелька, покупается сертификат, заливается и всё готово.

Как обстоят дела с вирт.хостингами не знаю т.к. не пользуюсь

lealhost
На сайте с 07.06.2014
Offline
136
#5
fmd1:

Вбиваем в Хром (без указания протокола, только цифры): 148.251.3.118. Идет редирект на сайт с SSL. Как мне сделать так же?

Ну. например, через файл .htaccess в корне сайта, если на сервере используется Apache с mod_rewrite:


RewriteEngine on
RewriteBase /

RewriteCond %{HTTP_HOST} !^domain.com
RewriteRule (.*) https://domain.com/$1 [R=301,L]

Вместо "domain.com" вписываете ваш домен.

F1
На сайте с 23.05.2018
Offline
30
#6

На сервере nginx.

tmatm
На сайте с 22.04.2006
Offline
212
#7

Бывает 3 вида SSL-сертификатов:

1. Самоподписанные сертификаты, на которые ругаются браузеры, т.к. их генерят на собственном сервере, а не выдают доверенные центры сертификации. Используются для тестовых целей.

2. Обычные SSL-сертификаты с онлайн-проверкой (домена или e-mail). Такой сертификат, например, у этого форума.

3. EV SSL-сертификаты, где нужно заполнить кучу бумаг для их получения. В адресной строке они выделяются зелёным и пишется название организации для которой они выданы (обычно в интернет-банках крупных банков можно увидеть такие сертификаты).

Thawte отличаются от Let's Encrypt только стоимостью и сроком действия. С технической точки зрения они абсолютно одинаковы.

Для того, чтобы сайт по https открывался в старых браузерах необходимо, чтобы SSL-сертификат вашего сайта был прописан первым (дефолтным) в настройках сервера. Первым его можно прописать только, если использовать отдельный IP для вашего сайта. Кроме этого в настройках веб-сервера должны быть включены такие протоколы и шифры, чтобы сайт открывался старыми браузерами (можно только TLS 1.3 с парой самых новых шифров прописать и ни в каких старых браузерах ничего открываться не будет).

Поэтому, как и советовали выше, стоит сравнить результаты ssllabs.com для вашего сайта и для того сайта, который открывается без проблем у вас в мобильном. После чего просить хостера в настройках Nginx включить протоколы и шифры, как у того сайта, где всё открывается. Но стоит заметить, что не все хостеры это могут сделать, т.к. для индивидуальных настроек они могут сказать, чтобы вы покупали VPS и делали там те настройки, которые вам нужны.

Optimizator.Ru ( https://optimizator.ru/ ) — регистрация и продление доменов в RU-CENTER и REG.RU: RU, РФ от 123 р.; MSK.RU, SPB.RU и др. 168 р. + REG.RU ( https://reg.optimizator.ru/ ). Освобождающиеся домены от 150 р. ( https://optimizator.ru/backorder/ )

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий