SSL บนแชร์ไอพี ด้วย Apache SNI

ThaiTumweb · May 1, 2012, 7:30pm

จากกระทู้ http://www.thaihosttalk.com/showthread.php/69891-เช่า-SSL-สำหรับทำบริการ-App-Facebook-แบบไหนดีครับ

ผมได้ทดลอง อัพ openssl เป็น OpenSSL 1.0.1b 26 Apr 2012
คอมไพล์ apache ใหม่
enable sni ใน da
เทส chrome firefox ok ผ่านหมด ลอง IE9 บน windows7 ไม่เวิคร์
ไม่แน่ใจว่ามันมีอะไรพิเศษไหม
เห็นกระทู้ที่แล้ว เทนบอกว่าใช้อยู่ ยังไงช่วยแนะนำหน่อยครับ

kke · May 1, 2012, 8:37pm

ผมมองว่า ณ วันนี้ ถ้าจะใช้เว็บแบบ https ยังไงก็ต้องแยก IP ครับ
ดูจากสถิติคนเข้าเว็บผมเองคนใช้ Windows XP มากสุด 47.6% รองมาเป็น Windows 7 39.8%
Browser IE 8 มาอันดับ1 21.2% รองมาเป็น Chrome 20.4% firefox อันดับ3 19.8% IE 7 11%

เพราะถ้าใครใช้ IE บน Windows XP ก็จะมีปัญหาไม่ว่าจะ IE เวอร์ชั่นใหนก็ตาม ต้องรอ windows xp ล้มหายตายจากไปก่อนถึงจะน่าใช้ SNI

icez · May 1, 2012, 9:31pm

อย่าไปแคร์ บังคับคนใช้ไปเลยว่าไม่ upgrade มันก็จะขึ้นโวยวายอยู่นั่นแหละ 5555+

pizzaman911 · May 1, 2012, 10:48pm

นายแน่มาก :70bff581:

ThaiTumweb · May 1, 2012, 11:20pm

ผมก็คิดแบบ ไอซ์ จะได้เลิกใช้ IE กันซะที
แต่ผมก็งง ว่าทำใม IE9 บน win7 มันใช้ไม่ได้ทั้งๆที่ doc ก็บอกว่ารองรับ

ThaiTumweb · May 2, 2012, 12:00am

เจอคำตอบแล้วครับ ไปอ่านที่เว็บ ms ในเครื่องผมสงสัยไปปรับเอาไว้ ที่ internet option แค่ เลือก Use TLS ก็ใช้ได้แล้วครับ ค่าดีฟอลด์มันก็เลือกไว้ สงสัยเผลอไปปรับ
เล่นเอา งมตั้งนาน

mean · June 2, 2012, 1:18am

ขอขุด ขึ้นมาถามต่อหน่อยครับ

แบบนี้ 1 ip แล้วใช้ certificate ตามจำนวนโดเมน หรือใช้ cert อันเดียวอ่ะครับ

แล้วหากใช้ SNI
แยก Certificate / Domain แบบนี้จะยัง warning ใน browser เวอร์ชั่นเก่าๆ ไหมครับ

ThaiTumweb · June 2, 2012, 2:01am

cer ต้องแยกโดเมนอยู่แล้วครับ แต่ผมเห็น cer บางเจ้าอย่าง geotrust ทำ multiple domain ได้ แต่ราคาก็เอาการนะครับ ถ้าใช้ไม่เยอะซื้อพวก 123,rapid น่าจะคุ้มกว่า

SNI บราวเซอร์เก่าๆฟ้องแน่นอนครับ IE บน XP ทุกเวอร์ฟ้องหมด

rtsp · June 2, 2012, 4:09am

ตอนนี้ client ที่ไม่รับ SNI (เท่าที่ผมรู้) คือ

IE all version on XP
Android Browser 2.x
wget

นอกนั้นได้หมดแล้วครับ

bestthaihost · June 2, 2012, 7:58am

ลองใช้แล้ว chrome version ล่าสุด ไม่มี popup
แต่ถ้า check certificate path ดูแล้ว ยังมี error ถึงแม้จะลง CA แล้วก็ตาม

mean · June 2, 2012, 10:06am

SNI ยังสามารถทำ SSL / IP / Cert ได้ดังเดิมไหมครับ

rtsp · June 2, 2012, 1:15pm

ผมลองแล้วผ่านหมดนะครับ cap จอให้ดูหน่อยได้มั้ยครับว่า error ตรง cert ตัวไหน

ถ้าทำแบบนั้นมันก็จะไม่เป็น SNI ครับ (ซึ่งดีกว่า, สำหรับคนรวยไอพี)

ThaiTumweb · June 3, 2012, 12:40am

ผมเทสก็ผ่านหมดนะครับ ไม่มี error ตรงไหนเลยครับ
แต่ใช้ tool check ของ thawte มันกลับไม่ได้แฮะผมก็ไม่เข้าใจมันเหมือนกัน

mean · June 3, 2012, 1:14am

ในส่วนนี้หมายถึงหากเราเปิดใช้งาน SNI แล้ว
ถ้าจะใช้ 1 ip / 1 cert / domain ในบางโดเมนยังใช้ได้ไหมครับ

icez · June 3, 2012, 1:22am

ก็เข้ากรณีที่ client ไม่รองรับ SNI ตามปกติครับ คือเรียก default cert ของ IP นั้นๆ ไปแทน (ซึ่งก็คือ cert โดเมนที่เราใส่ไปนั่นแหละ)

bestthaihost · June 3, 2012, 10:48am

ผมก็เป็นเหมือนกันครับ