Freitag, 4. April 2014, 12:40
SSL-Proxy für Webhosting-Kunden?
Mal eine Frage in die Runde der Webhosting-Kunden unter den Blog-Lesern: Wer würde sich einen (kostenlosen) SSL-Proxy, z.B. in der Form
Anregungen, Kommentare etc. willkommen!
https://ssl-proxy.manitu.de/KUNDENDOMAIN.TLD/
wünschen?Anregungen, Kommentare etc. willkommen!
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Malte
Schön wäre es dabei dann, wenn man in Unterverzeichnissen ("KUNDENDOMAIN.TLD/ssl/") festlegen könnte, dass diese nur vom Proxy aus erreichbar sind. Also dass beim Aufruf von http://KUNDENDOMAIN.TLD/ssl/ automatisch nach https://ssl-proxy.manitu.de/KUNDENDOMAIN.TLD/ssl/ umgeleitet wird.
Andreas
Nutzer v1.2
warum nicht einfach StartSSL für alle kostenfrei? Jaja private Keys soll man selbst erzeugen, aber besser als ein Proxy wäre das allemal. So bräuchte es nur eine Funktion im Kundenmenü, die den private Key und ein CSR erzeugt, das man selbst zu StartSSL kopiert und von dort das Cert zurück kopiert. Aber da frägt es sich dann auch, warum SSL bei Manitu zur IP nochmal einen deftigen Aufpreis kostet. Bei einem Premiumhoster würde ich eher erwarten, mein Zertifikat bei allen Produkten kostenfrei nutzen zu können...
Bernd Holzmüller
TLS-SNI hat in etwa die selben Anforderungen wie ein SSL-Proxy - vorausgesetzt der Kunde bringt sein eigenes Zertifikat mit. Deswegen wäre es logisch, das zusätzlich oder anstatt des Proxys anzubieten, aber zu den selben Kosten. (Die Betrachtungsweise einer separaten Box, die ausschließlich Verschlüsselung macht lasse ich mal außen vor. Im typischen Szenario wird der Aufwand geringer als der sein, den die Webserver ohnehin zu stemmen haben)
Manuel Schmitt (manitu)
Dirk
yetzt
L.E.
Deswegen: Wenn SSL gegen Aufpreis angeboten wird, zumindest die Möglichkeit bieten, das selbst signierte Zertifikat mit einem eigenen Zertifikat zu ersetzen.
Tetja Rediske
T
Mal in die Runde: IMO ist mit dem Auslauf von XP jetzt ein guter Zeitpunkt, SNI ernsthaft zu nutzen. Lediglich Android 2.x bleibt noch außen vor (wie Google sich da in eine Liga mit XP begeben konnte ist mir bis heute nicht klar), aber bei der Halbwertszeit "moderner" Handys sind wir wohl auch dies bald los ... was meint ihr?
Andreas
Aber irgend wann ist meiner Meinung nach halt auch mal Schluss mit Rücksichtnahme. Wer unter XP noch den IE benutzte die letzten Jahre machte eh etwas falsch.
Android 2.x ist mir auch Schnuppe, obwohl ich es selbst Einsetze. Aber den Browser nutze ich eh nicht außer um schnell etwas in Wikipedia nach zu sehen, und die wenigen Apps die es brauchen können bereits alle SNI.
Stefan
Vorteil:
- Würden die Same-Origin-Policy nicht (so weit) aushebeln
- Bereitet Kunden vermutlich weniger Probleme. Erfahrungsgemäß werden CSS/JavaScript/etc. Dateien von Kunden oftmals mit absoluten Pfadangaben ohne Angabe der Domain (also ) eingebunden. Dies führt dann zu Problemen, wenn da noch ein virtueller Ordner dazu kommt.
- Die SSL Sitzung könnte direkt auf dem Hostingserver terminiert werden, da die unterschiedlichen Subdomains von .ssl-proxy.manitu.de ja auf unterschiedliche Server zeigen können und aber auf allen Servern das gleiche Zertifikat *.ssl-proxy.manitu.de installiert werden kann.
Nachteil: Das Zertifikat wird etwas teurer (wildcard zertifikat).
Insgesamt frage ich mich aber auch, warum nicht einfach den Upload von StartCom Zertifikaten mit SNI anbieten? SSL Proxies sind sowas von . . . alt.