SNI Teknolojisi ile Tek IP Adresine Birden Fazla SSL Kurulumu

26 Ağustos 2015 SSL

1 Yıldız2 Yıldız3 Yıldız4 Yıldız5 Yıldız (400 Kişi oy verdi, 5 üzerinden ortalama puan: 5,00
Loading...

sni ssl sertifikasi

Web sitelerinde SSL sertifikası kullanımı her geçen gün artarken, SNI teknolojisi ssl sertifikası maliyetlerini düşürüyor.

Google’ın ssl sertifikası kullanan web sitelerine +1 değer vereceğini daha önce duyurmuştuk. (Bkz. https://goo.gl/9eoda2 ) Bugün ise son kullanıcıların ssl sertifikası maliyetlerini en aza indiren bir teknolojiden SNI’dan bahsedeceğiz.

Bildiğiniz üzere bir web sitesinde ssl sertifikası kullanılabilmesi için o web sitesine adanmış özel bir ip adresi tanımlanması gerekmektedir. Çünkü ssl sertifikası kullanılan web sitelerinde http header  bilgileri şifrelendiğinden, sunucu istemcinin talebine alan adına göre değil, IP adresini kontrol ederek yanıt verir. Bu yüzden şimdiye kadar özel bir IP adresi gereksinimi vardı ve bu gereksinimin maliyeti hosting sağlayıcılarının politikalarına göre aylık 2 TL’den 20 TL’ye kadar yükselebiliyordu. Ancak yeni geliştirilen SNI teknolojisi sayesinde özel bir IP adresi gerekmeksizin paylaşımlı bir IP adresine ssl sertifikası kurulabilmektedir.

Bir TLS eklentisi olan SNI, el sıkışma (handshake) sürecinin başlagıcında, istek içerisinde geçen sunucu adının (hostname) dijital sertifikasını doğruluyor. Bu şekilde bir IP adresi üzerinde birden fazla SSL Sertifikası kullanmak mümkün hale geliyor. SNI (Server Name Indication) teknolojisi, bir sunucuda aynı IP adresi ve port numarası üzerinde birden fazla ssl sertifikası kullanılmasını sağlıyor. Böylece web sitesi sahipleri sadece ssl sertifikası satın alarak, web site güvenliğini minimum maliyetle sağlıyorlar.

SNI ile sunucu adı şifrelenmediği için özel IP adresi zorunluluğu ortadan kalkıyor, ancak SNI sadece yeni tarayıcılar tarafından destekleniyor. Bu da önemli projeleriniz için şimdilik olumsuz bir etki (dezavantaj) yaratabilir. Ancak yine de SNI’ın bir çok popüler web tarayıcısı ve işletim sistemi tarafından tanındığını belirmek isteriz.

Aşağıda sni teknolojisi ile ssl sertifikası doğrulamasının nasıl yapıldığını görüyorsunuz.

sni ssl süreci

SNI Teknolojisi ile SSL Sertifikası Kurulumu

SNI ssl sertifikası kurulumunun normal ssl sertifikası kurulumundan bir farkı bulunmamaktadır. Aynı şekilde alan adı için CSR oluşturulur ve bu csr kodu ile oluşturulan ssl sertifikası sunucu üzerine yüklenir.

SNI teknolojisi ile ilgili detaylı teknik bilgileri aşağıda görebilirsiniz.

SNI Destekleyen İşletim Sistemleri

İşletim sistemi sadece XP üzeri olan bilgisayarlar SNI desteği sunar. Çünkü SNI, Vista ile gelen SChanell teknolojisini kullanmaktadır.

SNI Destekleyen Web Tarayıcıları

  • Internet Explorer 7 ve üzeri
  • Mozilla Firefox 2.0 ve üzeri
  • Opera 8.0 (2005) ve üzeri
  • Opera Mobile 10.1 ve üzeri
  • Google Chrome ve üzeri
  • Safari 3.0 ve üzeri
  • Konqueror/KDE 4.7 ve üzeri
  • MobileSafari in Apple iOS 4.0 ve üzeri
  • Honeycomb (v3.x) ve üzeri
  • BlackBerry 10 and BlackBerry Tablet OS
  • Windows Phone 7 ve üzeri
  • MicroB on Maemo
  • Odyssey on MorphOS

SNI Destekleyen Web Sunucuları

  • mod_ssl kullanan Apache 2.2.12 veya üzeri (veya alternatif olarak deneysel mod_gnutls)
  • TLS desteği ile derlenmiş Cherokee
  • Yamalı lighttpd 1.4.x ve 1.5.x sürümleri veya yamasız 1.4.24+
  • SNI destekli OpenSSL ile inşa edilmiş Nginx
  • OpenSSL 0.9.8j ve üzeri ile acWEB (windows üzerinde)
  • Native SSL/TLS destekli G-WAN
  • IIS 8 ve sonrasındaki IIS sürümleri
SNI Destekleyen Server İşletim Sistemleri
  • Windows Server 2012 ve sonrası
  • Ubuntu 11.04 ve sonrası
  • RedHat Enterprise Linux 6 / CentOS 6.x ve sonrası destekliyor.

SNI Destekleyen Kütüphaneler

  • Mozilla NSS 3.11.1 sadece istemci tarafı
  • OpenSSL

0.9.8f (11 ekim 2007’de çıktı) – varsayılan olarak derlenmemiş, konfigürasyon seçeneği –enable-tlsext ile derlenebilir

0.9.8j’den (7 ocak 2009’da çıktı) 1.0.0’a (29 mart 2010’da çıktı) kadar – varsayılan olarak derlenmiş halde

  • GNU TLS
  • 7.18.1 sürümünden beri (30 mart 2008) libcurl / cURL, SNI destekli SSL/TLS tookit ile derlendiğinde
  • Python 3.2 (ssl, urllib[2] ve httlib modülleri)

 

NOT: cPanel WHM 11.38 ve üzeri, Centos 6 ve üzeri sunucularda SNI desteği bulunmaktadır. Daha eski versiyonlarda sni desteği olmadığından paylaşımlı IP adreslerine ssl sertifikası kurulamamaktadır.

SNI teknolojisi ile ilgili daha detaylı bilgi için aşağıdaki kaynaklare göz atabilirsiniz;

https://en.wikipedia.org/wiki/Server_Name_Indication

https://blog.cpanel.com/ssl-improvements-for-cpanel-whm/

https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Bir önceki yazımız olan E-Ticaret Sitelerinde Güvenlik Önlemleri başlıklı makalemizde dijital güvenlik, eticaret güvenlik ve ssl hakkında bilgiler verilmektedir.