Выделенный IP и SSL-сертификат (проблема со SNI)

Если по-простому, SNI - это расширения для обеспечения работы сертификатов с "общими" IP-адресами, а не с выделенными.

То есть ваш сайт будет открываться с IE на Windows XP, по протоколу HTTPS с выделенным IP. Есть там поддержка SNI или нет — не важно. Важен только сертификат, например, Let's Encrypt старые браузеры не увидят.

Если вы заходите по протоколу HTTPS на IP-адрес, то будет подгружен ваш SSL-сертификат ДЛЯ ДОМЕНА. Но IP-адрес нельзя вписать в SSL-сертификат (вообще, в какие-то можно, но это не ваш случай). Соответственно, любой браузер покажет сообщения о том, что "соединение не защищено" и "ваши данные могут похитить" + тот самый красный замочек.

Видимо, когда вы переходили по IP-адресу, вы переходили по HTTP-протоколу. Другого объяснения найти не могу :)

Как у вас настроена переадресация на тот или иной протокол? Без дополнительной информации сложно что либо подсказать.

Воспользуйтесь тестом от ssllabs.com для проверки настроек и того, где откроется а где нет.

Увеличение пинга и низкая скорость на выделенном IP это вообще нонсенс.

Из вашего поста следует, что вы не до конца поняли что такое SNI и как работает. Скорректирую вас: вам принципиально, чтобы https работал без использования SNI, т.к. у вас устаревшие клиенты, которые его не умеют.

Кстати, в контексте вашего кейса еще сталкивались с тем, что некоторые клиенты настраивают свой веб-сервер (ssl ciphers) так, что он не поддерживает необходимые шифры (т.к. они стали недостаточно стойкими) для старых веб-клиентов, из-за чего последние при попытках подключения выдают ошибки .

Нет-нет-нет, друзья, все не так. Меня здесь в очередной раз пытаются убедить, что мне все приснилось😂

Еще раз о первом провайдере, у которого все работало.

1. Сначала был куплен SSL-сертификат.

2. Затем он был добавлен на площадку хостинга на общесерверные IP. Сайт перестал открываться в WinXP на IE, который стоял у меня тогда, и перестал открываться на устаревшем браузере мобильника.

3. Прошло несколько дней. Меня такое положение дел не устроило, я заказываю выделенный IP. Как уж и к чему они там прикрепили SSL (сертификат к IP или еще как), я не знаю, но факт остается фактом:

а) я смог открыть сайт ПО IP БЕЗ РЕДИРЕКТА на доменное имя; сайт открывался по https, в адресной строчке было типа такого: https://217.21.0.124. При этом в Хроме замечательно отображался зеленый замок и надпись "Защищено".

б) а вот при заходе с мобильного, если ввести только IP-адрес в адресную строчку (без указания типа протокола), открывался домен, опять же в защищенном режиме.

в) сайт не открылся в IE на XP, но на XP по SNI открываются только очень крупные сайты (типа Яндекса), мой так и не открылся.

Вот цитата, которая нашлась на сайте одного из хостинг-провайдеров:

Я очень хочу доказать вам, что мне это не приснилось, но для этого мне нужно:

1. Купить виртуальный хостинг у того провайдера, о котором я говорю (теста там нет)

2. Купить сертификат (минимальная цена на thawte - 1800 в год)

3. Купить выделенный IP.

Конечно, можно это все заказать, потом откатить и попросить назад деньги, но делать это все ради минутного суть развлечения мне совсем не хочется. Если у кого будет желание убедиться в правдивости моих слов, скину в личку название хостера.

---------- Добавлено 25.05.2018 в 02:21 ----------

Вот.

Вбиваем в Хром (без указания протокола, только цифры): 148.251.3.118. Идет редирект на сайт с SSL. Как мне сделать так же?

Настраивается редирект на nginx или apache, чтобы с IP адреса был переброс на сайт с HTTPS, ничего сложного в этом нет.

На сколько мне известно, покупается VDS, ставится любая панелька, покупается сертификат, заливается и всё готово.

Как обстоят дела с вирт.хостингами не знаю т.к. не пользуюсь

Ну. например, через файл .htaccess в корне сайта, если на сервере используется Apache с mod_rewrite:

RewriteEngine on

RewriteBase /



RewriteCond %{HTTP_HOST} !^domain.com

RewriteRule (.*) https://domain.com/$1 [R=301,L]

Вместо "domain.com" вписываете ваш домен.

На сервере nginx.

Бывает 3 вида SSL-сертификатов:

1. Самоподписанные сертификаты, на которые ругаются браузеры, т.к. их генерят на собственном сервере, а не выдают доверенные центры сертификации. Используются для тестовых целей.

2. Обычные SSL-сертификаты с онлайн-проверкой (домена или e-mail). Такой сертификат, например, у этого форума.

3. EV SSL-сертификаты, где нужно заполнить кучу бумаг для их получения. В адресной строке они выделяются зелёным и пишется название организации для которой они выданы (обычно в интернет-банках крупных банков можно увидеть такие сертификаты).

Thawte отличаются от Let's Encrypt только стоимостью и сроком действия. С технической точки зрения они абсолютно одинаковы.

Для того, чтобы сайт по https открывался в старых браузерах необходимо, чтобы SSL-сертификат вашего сайта был прописан первым (дефолтным) в настройках сервера. Первым его можно прописать только, если использовать отдельный IP для вашего сайта. Кроме этого в настройках веб-сервера должны быть включены такие протоколы и шифры, чтобы сайт открывался старыми браузерами (можно только TLS 1.3 с парой самых новых шифров прописать и ни в каких старых браузерах ничего открываться не будет).

Поэтому, как и советовали выше, стоит сравнить результаты ssllabs.com для вашего сайта и для того сайта, который открывается без проблем у вас в мобильном. После чего просить хостера в настройках Nginx включить протоколы и шифры, как у того сайта, где всё открывается. Но стоит заметить, что не все хостеры это могут сделать, т.к. для индивидуальных настроек они могут сказать, чтобы вы покупали VPS и делали там те настройки, которые вам нужны.