# Securing Your ISPConfig 3 Installation With A Free Class1 SSL Certificate f. StartSSL



## Dirk67 (12. Feb. 2013)

ich habe eine generelle Frage, da auch die Mögliche Verwendung der class2 Zertifikate von startSSL in dem Tutorial angesprochen wird:

ist es generell möglich, ein Wildcard Zertifikat, wie es offensichtlich das _"StartSSL™ Verified"_ eines ist ( --> StartSSL ),
für mehrere Domains und/oder Subdomains auf einer einzigen / der selben Server-IP zu nutzen ?



> for the sheer unlimited, possible combination of different domain names and sub domains within the same certificate


ich dachte bisher immer: (nur) ein SSL-Zertifikat (und eine website) pro IP (?)
Im ISPConfig3-Manual steht ja auch z.B. mehrfach der Satz:
_"Please note that you can have only one SSL web site per IP address"_

Was ist in diesem Zusammenhang mit dem Ausdruck 


> Multiple domains (DNS Alt Names)


gemeint, den man in der "StartSSL™ Verified" Produktinformation findet ?


[edit] hab hier noch etwas gefunden: 
--> http://faq.hosteurope.de/index.php?cpid=18090
--> http://www.udo-telaar.de/mehrere-ssl-zertifikate-auf-einem-server-einer-ip/
(hilft mir aber auch nicht so recht weiter)




(die Frage bezieht sich auf Squeeze / nginx / ISPConfig3 gemäß --> http://www.howtoforge.de/uncategori...ebian-6-0-mit-bind-dovecot-nginx-ispconfig-3/ )


----------



## nowayback (12. Feb. 2013)

hi,



> ich dachte bisher immer: (nur) ein SSL-Zertifikat (und eine website) pro IP (?)


Das ist nicht korrekt... das Zauberwort heißt: SNI

Ich habe selbst auch mehrere Seiten mit der selben IP und SSL Zertifikaten laufen - ohne Probleme.
Probleme können in diesem Zusammenhang nur Asbach-Uraltbrowser machen - jedoch hat man dann weit größere Probleme als ne SSL Seite die nicht aufgerufen werden kann (is meine Meinung)

Wie sich das bei Wildcard-Zertifiakten verhält, kann ich dir leider nicht aus eigener Erfahrung sagen, jedoch dürfte das auch kein Problem sein.

Grüße
nwb


----------



## Dirk67 (13. Feb. 2013)

OK, Danke,
SNI also
werde ich mich mal mit beschäftigen.
scheint auf den ersten Blick unter ngingx recht einfach zu sein: 
--> Configuring HTTPS servers

Wie ist dann aber dieser Satz in der ISPConfig3 Doku zu verstehen:


Zitat von Dirk67:


> Im ISPConfig3-Manual steht ja auch z.B. mehrfach der Satz:
> _"Please note that you can have only one SSL web site per IP address"_


oder bezieht sich das nur auf das, was über die Admin Oberfläche möglich ist ?
d.h. wenn ich es "zu Fuß" machen würde, ginge es auch mit einem System auf dem ISPConfig3 läuft ?


----------



## nowayback (13. Feb. 2013)

hi,

ich kann dir nicht sagen, auf was sich der satz bezieht... Wenn du in Ispconfig 10 seiten einrichtest und allen die gleiche ip zuweist (nicht *) und danach bei allen seiten ein ssl zertifikat über ispconfig einspielst funktioniert es bei allen 10 seiten.

Grüße
nwb


----------



## Till (13. Feb. 2013)

> d.h. wenn ich es "zu Fuß" machen würde, ginge es auch mit einem System auf dem ISPConfig3 läuft ?


Das geht auch in ispconfig und nennt sich sni. Du musst da also nichts zu fuß machen.

Der Satz bezieht sich auf das "klassische" SSL das mit allen Browsern funktioniert, also ohne sni. Denn ob Du sni ernsthaft verwenden kannst hängt davon ab ob Du auschließen kannst dass einer der Besicher Deiner webseite einen alten Browser insbesondere IE verwendet. Sowas ausschließen lann man an sich nur bei internen Firmennetzen bei denen der Administrator sicherstellen kann dass keine älteren Browser mehr installiert sind.

Du siehst also das Ganze hat mit ISPConfig selbst wenig zu tun sondern mit der installierten apache und openssl version sowie mit den clients die darauf zugreifen.


----------



## nowayback (13. Feb. 2013)

hi,



> Denn ob Du sni ernsthaft verwenden kannst hängt davon ab ob Du auschließen kannst dass einer der Besicher Deiner webseite einen alten Browser insbesondere IE verwendet.


lt. Server Name Indication betrifft das wirklich nur asbach uralt browser - wie ich übrigends weiter oben auch schon geschrieben habe. Wer solche browser noch immer einsetzt hat nen massives sicherheitsproblem und sollte sich damit besser gar nicht ins internet trauen. Wenn solche leute ne ssl seite aufrufen wollen, ist das falsches vertrauen aufbauen... 

Grüße
nwb


----------



## Till (13. Feb. 2013)

Es trifft alle IE's von WinXP und das gibt es halt noch häufiger und zwar gerade bei Leuten die sich nicht so gut mit Computern auskennen, solange der PC noch funktioniert und Google anzeigt wird kein neuer gekauft  Wenn Du dann sni verwendest und sie auf einer falschen Seite ankommen, also nicht in shop A wo sie auf Bestellen geklickt haben sondern in Shop B nur weil dessen domain vor shop A im Alphabet kommt, dann ist das für den Shopbetreiber geschäftsschädigend. Also meine Kunden würden mir aufs Dach steigen wenn ich deren Kunden an andere shops "weiterleiten" würde oder die Bestellfunktion für diese Kunden nicht erreichbar wäre um eine IP zu sparen.


----------



## Dirk67 (14. Feb. 2013)

erst mal vielen dank für Eure Antworten,
ihr habt mir schon mal sehr weiter geholfen.


Zitat von Till:


> Es trifft alle IE's von WinXP


das ist leider richtig (also auch die neuesten IE's welche noch unter WinXP laufen -> also auch IE7 und IE8).
man kann es auch hier testen.

https://alice.sni.velox.ch

IP's v4 bekommt man ja nicht mehr so leicht heutzutage ...


----------

