ssl нюансы
http://infowatch.livejournal.com/202989.html?thread=3438829&style=mine#t3438829 :
При установке HTTPS-соединения сайт должен предъявить браузеру сертификат. Причем сделать это в процессе TLS-хэндшейка задолго до того, как начнется разговор по HTTP/1.1. Соответственно, до массового распространения браузеров, поддерживавших TLS-расширение SNI (Server Name Indication), единственной информацией о том, сертификат на какое доменное имя из хостящихся на данной машине предъявлять, был IP адрес на который пришел запрос. Поэтому если обычные HTTP-сайты можно держать на одном IP-адресе десятками, каждому HTTPS-сайту нужен был персональный адрес.
Существовала, конечно, возможность выписать сертификат на несколько доменных имен, запихав их все в расширение subjectAltName.
Но это не решение для хостингов, у которых на одной машине хостятся сайты, принадлежащие разным организациям. Поскольку существующие Certificate Authority почему-то норовят привязать сертификат сайта к организации-владельцу.
Так что name-based TLS-хостинг стал возможен только с появлением и в браузерах, и в серверах подедержки TLS-расширения SNI, что случилось буквально в этом десятилетии. И до сих пор еще многие владельцы сайтов рассчитывают на поддержку старых браузеров вроде IE 6, которые этого не умеют.
При установке HTTPS-соединения сайт должен предъявить браузеру сертификат. Причем сделать это в процессе TLS-хэндшейка задолго до того, как начнется разговор по HTTP/1.1. Соответственно, до массового распространения браузеров, поддерживавших TLS-расширение SNI (Server Name Indication), единственной информацией о том, сертификат на какое доменное имя из хостящихся на данной машине предъявлять, был IP адрес на который пришел запрос. Поэтому если обычные HTTP-сайты можно держать на одном IP-адресе десятками, каждому HTTPS-сайту нужен был персональный адрес.
Существовала, конечно, возможность выписать сертификат на несколько доменных имен, запихав их все в расширение subjectAltName.
Но это не решение для хостингов, у которых на одной машине хостятся сайты, принадлежащие разным организациям. Поскольку существующие Certificate Authority почему-то норовят привязать сертификат сайта к организации-владельцу.
Так что name-based TLS-хостинг стал возможен только с появлением и в браузерах, и в серверах подедержки TLS-расширения SNI, что случилось буквально в этом десятилетии. И до сих пор еще многие владельцы сайтов рассчитывают на поддержку старых браузеров вроде IE 6, которые этого не умеют.