¿Cada subdominio necesita su propio certificado SSL?

Pregunta:

Estoy creando un servidor websocket que vivirá en ws.mysite.example . Quiero que el servidor de socket web esté encriptado con SSL, así como el domain.example por domain.example que esté encriptado con SSL. ¿Necesito comprar un nuevo certificado para cada subdominio que creo? ¿Necesito una dirección IP dedicada para cada subdominio que creo? Probablemente tenga más de un subdominio.

Estoy usando NGINX y Gunicorn ejecutándose en Ubuntu.

Respuesta:

Responderé esto en dos pasos …

¿Necesita un certificado SSL para cada subdominio?

Si y no, depende. Su certificado SSL estándar será para un solo dominio, digamos www.domain.example . Existen diferentes tipos de certificados que puede, además del certificado estándar de dominio único: certificados comodín y de dominio múltiple.

  • Se emitirá un certificado comodín para algo como *.domain.example y los clientes lo tratarán como válido para cualquier dominio que termine en domain.example , como www.domain.example o ws.domain.example .

  • Un certificado de dominio múltiple es válido para una lista predefinida de nombres de dominio. Para ello, utiliza el campo Nombre alternativo del sujeto del certificado. Por ejemplo, podría decirle a una CA que desea un domain.example dominio múltiple para domain.example y ws.mysite.example . Esto permitiría utilizarlo para ambos nombres de dominio.

Si ninguna de estas opciones funciona para usted, necesitará dos certificados SSL diferentes.

¿Necesito una IP dedicada para cada subdominio?

Nuevamente, esto es un sí y un no … todo depende de su servidor web / de aplicaciones. Soy un tipo de Windows, así que responderé con ejemplos de IIS.

  • Si está ejecutando IIS7 o una versión anterior, entonces está obligado a vincular certificados SSL a una IP y no puede tener varios certificados asignados a una sola IP. Esto hace que deba tener una IP diferente para cada subdominio si está utilizando un certificado SSL dedicado para cada subdominio. Si está utilizando un certificado de dominio múltiple o un certificado comodín, entonces puede salirse con la suya con una única IP, ya que solo tiene un certificado SSL para empezar.

  • Si está ejecutando IIS8 o posterior, se aplica lo mismo. Sin embargo, IIS8 + incluye soporte para algo llamado Indicación de nombre de servidor (SNI). SNI le permite vincular un certificado SSL a un nombre de host, no a una IP. Entonces, el nombre de host (Nombre del servidor) que se usa para realizar la solicitud se usa para indicar qué certificado SSL debe usar IIS para la solicitud.

  • Si usa una única IP, puede configurar sitios web para responder a solicitudes de nombres de host específicos.

Sé que Apache y Tomcat también tienen soporte para SNI, pero no los conozco lo suficiente como para saber qué versiones lo admiten.

Línea de fondo

Dependiendo de su aplicación / servidor web y del tipo de certificados SSL que pueda obtener, determinará sus opciones.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım