SSL több mint 100 domain névre

 ( meridian | 2018. december 1., szombat - 14:51 )

Sziasztok!

Széttúrtam a netet, de nem találok olyan SSL szolgáltatást, ami több mint 100 domain névre érvényes.
A jelenlegi felállás: van egy webáruház, amire mutat több mint 100 domain név, de úgy hogy bármelyik domain nevet választod teljesen más tartalommal (árak/termékek/nyelv) jelenik meg az oldal. Így a domain név ugye marad a címsorban. De az oldal mögött 1 motor és 1 adatbázis van.
Próbáltam a LetsEncrypt-el, de kiakad a sok domain névtől.
Nézegettem a fizetős cuccokat is, de ott is limit van.
Létezik persze a céges tanusítvány, de az nem jó mert a látogatóknak akár domain nevenként más leányvállalat jelenik meg tehát ez sem megoldás.
Tudtok segíteni ?
Találkozott már valaki ilyen feladattal ?

Köszi előre is.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Speciális Nevelési Igényű szerver :-)

A SAN mező max. mérete 4096 byte, ezért függ a benne tárolható név számossága azok hosszától.
Használj több certet és SNI-t.

Hogyan használjak több certet amikor egy db virtualhostról van szó, s az összes többi domain név csak serveralias ?

Miért van egy darab virtualhost?

Mert egy motor van egy adatbázissal. Vedd úgy hogy egy weboldal aminél a domain névtől függően töltődik be a tartalom. Ha szétdarabolom akkor a fejlesztés duplikálni kell minden esetben ami problémás.

Mármint van egy darab szerver, amin 100+ dominnek a webáruháza+adatbázisa van? Mert ez azért eléggé bááátor, vagy inkább botor dolog... Az ssl-végződtetést ettől függetlenül le lehetne választani róla, és ha az megvan, akkor abból csinálni néhányat, és egy-egy ilyen frontenden csak a domainek egy részét végződtetni.

Hmm... ez még mindig nem a megoldás hanem a jelenlegi struktúra szétdarabolása, ami mint mondtam hosszútávon a fejlesztési időt eléggé megnöveli.
Nem értem miért lenne botor dolog az ha egyetlenegy weboldal egy szerveren van s több domain név mutat rá, de ha kifejted lehet tanulok valamit :)

nem igazan ertem milyen fejlesztesi idot igenyel. felveszed 50-esevel a domaineket egy-egy vhost csoportba amiben ugyanazok a beallitasok vannak (docroot, stb), csak a cert fajl mas.
ahogy a tobbiek is mondtak, ha "fizikai" korlatja van a certeknek, akkor kenytelen vagy ezt csinalni...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Igen, ez így van, csak több mint 18 szerverből áll ez a farm aminél ez csak 1 szerver s ispconfiggal kezelem a farmot amin nincs ilyen opció ugye, hanem 1 "webhely" s a többi aliasdomain. Tehát a javaslatod alapján az infrastruktúrát is kellene ennél az ügyfélnél változtatni ami rengeteg plusz adminisztrációs/üzemeltetési idő.

Ja, hogy kattingatós-webes adminfelület a másik ok... Erre bedobott valaki egy 3k USD-s ajánlatot, ami ha úgy nézem, nem is olyan vészesen sok (30USD/domain), jó kérdés persze, hogy milyen garanciákat meg felelősséget vállal az adott CA.

arra gondolhat, hogy ha 100 különböző cég tartalma van egyetlen kiszolgáló egyetlen adatbázisába hányva, akkor az tehnikai értelemben is veszélyes, hisz probléma esetén 100 cég rúgja szét egyszerre a hátsódat.
De más szempontból esélyes, hogy adatvédelmi szabályokat is sérthet, ha átjárhatóság van a különböző cégek által nyilvántartott ügyféladatok között. Ha egyiket felnyomják lényegében mindet felnyomják és 100 adatvédelmi eljárás indul ellened.

Igen, ez így lehetséges, de eléggé specifikus a dolog, s nem erről van szó.

Ez igy netto hujeseg... Ha nem birsz annyira hozzaferni a confighoz, hogy kb 1 ora munkaval szetkapd a konfigot ahogy kell egy rendes strukturalt, ki-be kapcsolhato virtualhost kornyezetbe kulon kezelheto eletciklussal amikor nem egyszerre fekszik minden hanyat akkor komolyan gondolkozz el hogy lelepsz, mert itt nem az a kerdes hogy lesz-e ebbol problemad, hanem hogy mikor. Es igy nagy problemad lesz...

Csinalj egy template configot, engedd ra egy sed-et hogy kicsereleje a server xyz / proxyforward blah mezoket es told be oket a hosts_enabled nginx alkonyvtarba.

Dededede... "ez csak 1 szerver s ispconfiggal kezelem a farmot amin nincs ilyen opció ugye" - úgy meg k.nehéz lesz :-P

ISPConfig alapból minden aliasdomaint beletesz a Let's Encrypt tanúsítványba. A limit miatt 5 hét alatt tudod bekapcsolni, utána meg felejthető.

A vhost templatek pedig szerkeszthetőek, akár úgy is meg lehet oldani.

Ne nekem mondd... :-P

Ha jól értem akkor ezzel csak az a baj, hogy száznál több kell neki.

Mi a pöcs növeli meg a fejlesztési időt abban, hogy az 1.2.3.4-re mutat 25 domain, az 1.2.3.5-re másik 25, és így tovább, ezeken a címeken hallgat egy-egy nginx/apache/haproxy/akármi, ami végződteti az oda érkező ssl-kapcsolatokat (mindegyik 25-25 domaint), és a kérést immáron plain text http-ben tolja tovább a tényleges szerverre.
Ha úgy nézzük, valóban darabolás, de elsődlegesen funkcionálisan, illetve forgalom szerint, mert a backend az maradhat ugyanaz, csak épp az ssl-lel nem ott kell foglalkozni.

Nem azzal van a baj hogy egy weboldalra tobb domain mutat... Arrol lehet vitat nyitni hogy webshopnal - ne adj isten kulonbozo tulajdonu webshopoknal - ez mint feljebb is irtak mar adatvedelmi hatarokat feszeget(het). Valoban van ra pelda hogy akar tobbszaz domain is mutat ugyanarra a serverre, talan ugyanarra a backend-re is.

A gond ott van, hogy a frontendeket, a virtualhostokat teljesen rosszul kezeled. Nincsenek szetvalasztva, nincs kulon eletuk, pont a mostani kerdesed az egyik pelda hogy ez miert okoz problemat de kepzelj el olyan helyzetet amikor valami okbol az egyik domain csak egy _kicsit_ is maskent kellene kezelned (kiarusitas, akcio mittomenmi) vagy akarmelyik weboldal elkoltozne masik szerverre... Egy domain - plane ha magasabb szintu domain is nem csak x.joceg.hu, b.joceg.hu hanem teljesen kulon neven futo, akkor azokat a webkiszolgalobol is kulon kellene kezelni. Persze - kuldd a forgalmat ahova akarod, de a frontend legyen kulon konfigolva. Ez kb 5-10 sor akar haproxy akar nginx alatt - es akkor meg a szep a szintaktikad is.

Attol hogy ele rax egy haproxy-t vagy egy nginx-et attokl meg a backend engine ugyanugy megkapjo a domain nevet amit hivnak.

barmennyi virtualhost lehet, ha ugyanaz a konfigjuk ugyanugy fog mukodni.

Mondjuk ez nem igaz, de hogy ki mennyit enged, az más kérdés:

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

és


The SIZE (1..MAX) construct constrains the sequence to have at least
one entry. MAX indicates that the upper bound is unspecified.
Implementations are free to choose an upper bound that suits their
environment.

RFC5280

És ha feldarabolod több virtualhostra a sok domaint, és virtualhostonként generálod a tanúsítványt? pl 50-esével? Eleve az SSL tanúsítványokat mindenhol korlátozzák, ilyen tekintetben. Akár reverse proxy-kkal is megoldhatod, ha úgy egyszerűbb.

Nem szeretném feldarabolni, erre az esetre keresek megoldást.

már csak az érdekelne hogy miért nem


// Happy debugging, suckers
#define true (rand() > 10)

Mert az soksoksoksok plusz munka, és nem akar copni vele, elég, hogy időnként azt az egy certet le kell cserélni :-P

25 domainenként egy-egy virtualhost, ami ugyanarra a könyvtárra mutat, csak az SSL-ek mások benne. Letsencrypt pedig frissíti minden (mind = 4 SSL)

Tudom, de ezt nem akarja, mert csak :-) Már az egyben 100+ "webáruház" dolog is bizarr, de hogy semmilyen szeparáció nincs, az... Bátor cselekedet, na.

Nem 100+ webáruház hanem egy webáruház 100+ domain névvel, nem mindegy...

Comodo Positive Multi-Domain SSL Certificate, up to 250 domains. Lejárat előtt is tudod módosítani a domain listát és csak a különbözetet fizeted.

Jól látom, hogy $3000/yr lenne 100 domain esetén?

Üszkve $1000/yr lesz az, csak alapból a 4 év van bepipálva.

Nincs 4 év már, max 2.

Kifizetni ki tudod 4 évre, csak "Note: 3 & 4 year certificates must be regenerated after 2 years"

Köszönöm, ilyet kerestem :)
Ha van olcsóbb azért az érdekel :)

Engem is. :)

off
"úgy hogy bármelyik domain nevet választod teljesen más tartalommal (árak/termékek/nyelv) jelenik meg az oldal"

ajánlom figyelmedbe
https://prestashop.keszites.net/kulonbozo-arak-az-eu-ban-uj-rendelet-december-3-tol/

Ez jó, még szerencse, hogy mi üzemeltetünk/fejlesztünk a jogászai a cégnek nem mi vagyunk.

Haha, majd gondolj erre, amikor pár hét múlva észreveszik a jogászok és tegnapra kell megoldani :D
Láttam már olyat. Egyik fejlesztő más csapatból egy kávé mellett beszélgetve, a képernyőre nézve megszólalt, hogy 'ugye tudjátok, hogy ez sérti a licenszet', utána meg eszkalálódott kvikli.
A merketingesek és jogászok sokszor nem veszik észre azt ami a dolguk lenne és a fejlesztők szívnak miattuk.

En felnek az ilyen uzemeltetestol :) Vagy uzemeltetoktol... No offence.

Off:

A múlt héten néztem valamit az amazon.it-n karácsonyi ajándék gyanánt. Sajnos azt írták, hogy az kereskedő nem szállít Magyarországra. Megnéztem most is (dec. 4.). Még mindig nem szállítanak. Tehát a gyakorlat még (?) nem működik a dolog.

A másik az, hogy a szállítási költség „jó” megválasztásával el lehet venni a vásárlási kedvét a korlátozni kívánt országból származó vevőnek.

Nem arról szól a mostani változás, hogy kötelező legyen mindenhonnan Magyarországra szállítani.

A változás célja az lenne, hogy ugyanazt az árat kapja az olasz és a magyar (IP-vel rendelkező) vevő is amikor az oldalra téved.

A szállítás sajnos nem változott, bár úgy lenne tiszta, ha a rendszerben magyar vásárlóként lehetnék, mégha csomagtövábbküldő szolgálathoz rendeltetem is a cuccot, mert elvileg magyarként magyar áfát kéne fizetni, hogy szablyos legyen.

Viszont német amazon kapcsán mesélték, hogy tán a mailboxde továbbküldő szolgáltatásra ők nem panaszodtak, eddig sem. A mediamarkt és saturn akik nem voltak hajlandók a szolgáltótóhoz szállítani, pont azért mert továbbküldik. Elvileg ezt nem korlátozhatják már.

Csinalj annyi vhost amennyi domain van. Minden vhost mutathat ugyanoda. Heti 20 uj domaint enged a letsensc. Egyszer kell megcsinalni. Azt megy auto.

Van olyan info a bejegyzésedben ami már nem igaz.

Ha nem tudod szétszedni, mert olyat használsz, ami korlátoz, akkor rakj elé kézzel egy Nginx proxy-t, és végződtesd ott az SSL-eket. Megmaradhatnak aliasként Apache-ban. Mivel gondolom nem állandóan változó domainekről van szó, így ez egy kb. 1-2 órás munka.
Vagy küldd át a forgalmat egy CDN-en, és az adja az SSL-t.

Bennem fölmerült a kérdés, hogy használják is a 100 domaint a userek? Csak mert manapság (régóta) minden webshop képes kategóriák szerint megjeleníteni a termékeket, egy kattintásra nyelvet váltani illetve kezelni a lokációt. Ki az, aki úgy használja, hogy domain névvel szűr és nem a felületen található paraméterek kiválasztásával?

Ha nem használják, akkor lehet, hogy érdemes lenne 90 nem használt domaint lemondani.

Oké, nem az volt a kérdés, hogy van-e még ilyen....bár itt nem 100 doamin van és az oldalon lehet pl. márkára is szűrni.

Marketingnek egyszerűbb. Szűrt tartalmat kínál ki offline.

De 100 félét? Mert ha öt-tíz féle, akkor értem, de száz! Itt alapvető hibát érzek nem webesként is.

Simán el tudom képzelni. Főleg cipő témában.
- tematikus oldalak
- márka oldalak
- regionális oldalak
- vevői / kereskedői oldalak

Köszönöm, hasonló a dolog, nem webshop bérlés hanem egy teljesen egyedi fejlesztés. Mivel nem adhatom ki a pontos témát így megfelelően körülírni sem tudom, tehát marad a technikai rész amit megosztottam s kaptam megfelelő javaslatokat.
Köszönöm a segítséget, a kritikát, s a figyelemfelhívásokat is, melyek nagy része teljesen megfelelő lenne ha nem specifikus dolog lenne.
A probléma megoldva CDN segítségével.

Nekem az a gyanúm, hogy van egy webshop motor, ami úgy lett kitalálva, hogy egyedül elvigyen egy csomó üzletet:
- sanyiwebshop.hu
- szupercipok.hu
- shop.lacika.net
- nagyesernyok.hu
- kinaiakksik.hu
- olcsocipofuzo.hu
- i tak dalse.

Valószínűleg a domainenként van kb. napi tíz látogató (amiből kilenc bot), szóval nincsen rommá terhelve a az egész. És olcsón lehet adni.

Maga már az elképzelés rossz, ne menjünk bele (IT szakmai okok, IT jogi okok).
Szépen bontsd szét legalább 2 részre már csak 50 domainről kell gondoskodni a certben. 15 perc munka. dokumentálva 1 óra (mástól 10-15k). Persze vehetsz csodacertet.... A jó megoldás pedig SNI-vel mindegyik külön cert/virtualhost/log, de ez picivel több idő (2-3x) ezért picit drágább is.

Lemaradt a lényeg amit azért el kellene olvasnod ha már használni akarod:

Let's Encrypt rate limits

Igazából ha ugyanaz a konfig többi része, akkor még nem is sokkal több idő, pl. apache httpd macro.
https://httpd.apache.org/docs/2.4/mod/mod_macro.html

Hagyd - meg van Mekkmester taknyolva... mukodik :)

Mindenki magából indul ki.

Maradjunk annyiban hogy ISPconfigban osszekattintva 100 domain egy cert alatt nem normalis vhost tamogatassal, nem kulon fugetlen SSL offloadinggal, nem kulon logolva az taknyolas es nem komoly uzemeltetes. Kb ellentmond minden best-practices dolognak. Garazstuning szintu uzemeltetes. Nem tudok elkepzelni olyan indokot hogy ezt igy kellene csinalni. Ezzel a kerdest lezartnak tekintem.

Maradjunk annyiban hogy cirka 20 éve foglalkozom fejlesztéssel és üzemeltetéssel, s szerintem egy 18 szerverből álló rendszer üzemeltetése több ezer domain névvel postafiókkal s egyéb szolgáltatásokkal nem garázs szintű történet. Mivel egyáltalán nem látsz rá ennek a kérdésnek a hátterére így nem tudsz tényszerűen nyilatkozni a dologról, s igazából nem is tartozik rád. Én itt tanácsokat és segítséget kértem, s több hozzáértőtől is kaptam mind segítséget mind pedig akár technikai akár jogi tanácsot melyet átgondoltam s a javaslataimmal kiegészítve közvetítettem az ügyfelemnek. Az hogy ebből ő mit kér s mit nem kér nem az én döntésem. Az pedig hogy te mit tudsz elképzelni s mit nem az megint nem az én asztalom. Így már lezárhatjuk remélem. Köszönöm.

"Maradjunk annyiban hogy cirka 20 éve foglalkozom fejlesztéssel és üzemeltetéssel, s szerintem egy 18 szerverből álló rendszer üzemeltetése több ezer domain névvel postafiókkal s egyéb szolgáltatásokkal nem garázs szintű történet."
Ez nem azt feltételezi hogy értesz hozzá, csak annyit hogy hozzáférsz ilyenhez is, ami sokkal szomorúbb. Ha 20 éves üzemeltetési tapasztalattal egy ilyen egyszerű kérdésre hup-on kell topic-ot nyitni, majd hőbörögsz azon hogy az objektív oldalról megközelített taknyolásra valaki azt mondja hogy taknyolás, hát akkor...

Nem is folytatom inkább


// Happy debugging, suckers
#define true (rand() > 10)

+1

Idézet:
Maradjunk annyiban hogy cirka 20 éve foglalkozom fejlesztéssel és üzemeltetéssel

Én nem, nem is állítom, hogy értek hozzá, és ezért ítéletet se mondanék.

Csak annyit tennék hozzá, hogy láttam én már olyan embert, aki valamit 20 éve csinált, de mégis kb. mekkmester szintű munkát végzett.

Hiába látott sokmindent a sok év alatt, nem tanult belőle.

Nem kívánok személyeskedni, minden erre mutató jelet félreértesz, az csak jó tanács akar lenni. Igen szerencsétlen kijelentést tettél, a maradjunk annyiban ha tényleg 20 éve foglalkoznál ezzel akkor a szálindító hozzászólásod nem vagy nem így született volna meg

Ha egy db virthostra hajlandó vagy használni egy ingyenes nyílt forráskódú konfiguráció kezelő platformot ami nem jól működik ekkora mennyiségű tanúsítvány elemmel és még nincs hozzá kész javításod akkor gond van.

Azt javaslom, erősen fontold meg mi kerül többe és dönts.

Haproxy es mehet bele tobb cert....

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Minek ide haproxy?


// Happy debugging, suckers
#define true (rand() > 10)

SSL-t végződtetni, és a backendeknek továbbdobni. Ja, csak egy backend van... :-P

szvsz ezt hirdették úgy, hogy 250-et is elbír: https://www.geotrust.com/ssl/true-businessid-wildcard/

"This organization-validated SSL secures up to 100 domains"

Vagy valamit félreértek?