LINUX.ORG.RU

История изменений

Исправление Aber, (текущая версия) :

Работа нескольких сайтов на одном IP реализована при помощи механизма виртуальных хостов,

Тогда сертификат один на всех, где перечислены все домены, это годится только для одной конторы у которой множество доменов. Приватный ключ с сертификатом находятся на встречающем веб сервере, он и отвечает за https соединение. А если это десять разных фирм которые хостят свои сервисы на клауд инфраструктуре?

адресация запросов к конкретному виртуальному хосту реализована при помощи HTTP-заголовков HOST.

vasia.com, petya.com и lola.io пользуются одним клауд сервисом, каждый со своим сертификатом.

  • Если каждый имеет свой уникальный ip то проблем нет, при установлении SSL соединения вернется подходящий сертефикат, броузер проверит что доменное имя из сертификата соответствует запрашиваемому, ssl соединение будет установлено и по нему будет передан GET запрос от клиента.
  • Если на всех один IP, то промежуточный сервер должен как-то понять с кем именно происходит TCP соединение, GET запрос еще не передан, он будет передан по установленному SSL соединению, но его еще нужно начать. SNI несет имя запрашиваемого домена в открытом виде.

Исходная версия Aber, :

Работа нескольких сайтов на одном IP реализована при помощи механизма виртуальных хостов,

Тогда сертификат один на всех, где перечислены все домены, это годится только для одной конторы у которой множество доменов. А если это десять разных фирм которые хостят свои сервисы на клауд инфраструктуре?

адресация запросов к конкретному виртуальному хосту реализована при помощи HTTP-заголовков HOST.

vasia.com, petya.com и lola.io пользуются одним клауд сервисом, каждый со своим сертификатом.

  • Если каждый имеет свой уникальный ip то проблем нет, при установлении SSL соединения вернется подходящий сертефикат, броузер проверит что доменное имя из сертификата соответствует запрашиваемому, ssl соединение будет установлено и по нему будет передан GET запрос от клиента.
  • Если на всех один IP, то промежуточный сервер должен как-то понять с кем именно происходит TCP соединение, GET запрос еще не передан, он будет передан по установленному SSL соединению, но его еще нужно начать. SNI несет имя запрашиваемого домена в открытом виде.