Beveiligingsleverancier GlobalSign levert nieuwe technologie die het mogelijk maakt meerdere beveiligingscertificaten te gebruiken voor één IP-adres, zonder dat DNS-updates nodig zijn. Hiermee kunnen bedrijven langer toe met IPv4-adressen, tot een overstap op het IPv6-protocol wordt gemaakt.
Bij de verkoop van SSL aan klanten lopen hostingpartijen aan tegen het probleem dat het aantal beschikbare IPv4-adressen snel daalt. Elk SSL-certificaat moet namelijk worden gehost op een toegewezen IP-adres. Om die reden werd het SSL-protocol uitgebreid met Server Name Indication (SNI). Omdat de technologie echter niet wordt ondersteund door bepaalde browsers en besturingssystemen, kunnen sommige gebruikers de beveiligde websites niet bekijken.
Om dit probleem op te lossen en alle bezoekers toegang te geven tot de websites, heeft GlobalSign een methode ontwikkeld die SNI combineert met de GlobalSign CloudSSL-technologie. Elke website wordt beveiligd met zijn eigen SSL-certificaat, waardoor elk type certificaat kan worden gebruikt tot het hoogste beveiligingsniveau Extended Validation. Elk domein wordt bovendien toegevoegd aan een CloudSSL-certificaat (een certificaat voor meerdere domeinen) dat automatisch wordt aangeboden aan gebruikers met een systeem dat niet compatibel is met SNI. De servertoepassing van GlobalSign automatiseert het volledige proces.
GlobalSign
GlobalSign biedt al sinds 1996 van beveiligingscertificaten aan. De focus van het bedrijf ligt op het aanbieden van pki-oplossingen voor organisaties van alle groottes. Het bedrijf is onderdeel van de Japanse beursgenoteerde onderneming GMO Internet Group. Deze onderneming levert internetoplossingen, waaronder domeinnaamregistratie, cloud-based en traditionele hosting, e-commerce, beveiliging en betalingsdiensten.
Zo’n certificaat is in feite een soort van multidomain certificaat. Dit zijn maar halve oplossingen, net zoals Carrier-grade NAT. Uiteindelijk zal men toch een keer over moeten op IPv6.
Daarnaast is GlobalSign een van de duurste SSL leveranciers, een Cloud SSL certificaat zal ook niet goedkoop zijn.
@Mario Gielissen, Het legacy certificaat dat wij gebruiken wordt enkel weergegeven aan de 10% van de internet gebruikers welke nog geen SNI ondersteund. Dit is inderdaad een versie van het multi domein certificaat en het beheer van dit certificaat is volledig geautomatiseerd door de software welke wij hebben ontwikkeld. Daarbij is het CloudSSL certificaat en de software gratis! Het is niet een mooie oplossing maar het maakt het leven met veel SSL certificaten wel een heel stuk makkelijker. Praat eens met onze account managers (020-8908021) want ik weet zeker dat ze iedereen een interessante aanbieding kunnen doen!
GlobalSign levert een nieuwe technologie met SNI? Dat klopt niet. SNI is een aanvulling op TLS bedacht in 2003.Zie: http://tools.ietf.org/html/rfc3546#section-3.1
Niks nieuws en zal er zeker niet voor gaan zorgen dat IPv4 langer mee kan. Een mooi marketing verhaal dat goed past onder de noemer broodje aap verhalen.
@Martijn Bellaard, Wij hebben een nieuwe oplossing door twee bestaande technieken te combineren. Zoals je waarschijnlijk weet kan 10% van de internet gebruikers websites welke SSL aanbieden op basis van Server Name Indication (SNI) niet bezoeken. Deze oplossing combineert SNI met CloudSSL waardoor je de voordelen van SNI behalen zonder 10% van je site bezoekers te verliezen!
Hoe je het ook noemt, Wildcard Certificates, Multi-Domain certificates (dus met multiple Subject Alternate Names) gaat allemaal voorbij aan het doel van een certificaat. Uiteindelijk heeft het tot doel om vertrouwen the scheppen tussen webgebruiker en webaanbieder dat getransporteerde data veilig en versleuteld getransporteerd is. Als meerdere websites uiteindelijk hetzelfde certificaat gebruiken, kan dus via zo’n certificaat de ene website data van de andere website ontsleutelen (omdat ze allebei dezelfde private key gebruiken) en aldus wordt er een false sense of security geschapen.
@Paul van Brouwershaven. Wie zijn deze 10%? Gebuikers met een oude browser en OS. Op Wikipedia staat een mooi overzicht: http://en.wikipedia.org/wiki/Server_Name_Indication
Hierbij gaat het vaak om gebruikers voor wie een computer geen belangrijk onderdeel van hun werk of hobby is. Deze mensen hebben een kleine lijst met vast websites die ze bezoeken.
Een oplossing voor deze 10% gebruikers? Ik zou dat niet snel ontwikkelen, want hoeveel % van die 10% gebruikers gaan mijn website bezoeken? Ik denk dat voor iemand die gebruik wil maken van deze dienst dit moet overwegen.
Daarnaast ben ik het ook eens met Erwin. Kan ik de websites dan nog wel vertrouwen?
@Erwin, SSL Certificaten hebben twee eigenschappen. De meeste bekende de encryptie van gegevens tijdens het transport. Tweede is de authenticatie van de certificaat aanvrager. Het CloudSSL certificaat is een SSL Certificaat met de bedrijfsinformatie van de hosting provider, het bedrijf welke controle en verantwoording heeft over de private key. De hosting provider moet er voor zorgen dat andere gebruikers op deze shared hosting server geen toegang hebben tot deze private key. Dit is het aloude probleem van shared hosting wat niet enkel een probleem is voor SSL maar voor alle gegevens welke op deze server verwerkt worden. Het maakt dan ook niet uit of er nu individuele, wildcard of multidomain certificaten worden gebruikt.
@Martijn Bellaard, Dit is natuurlijk helemaal ter overweging van de site eigenaar. Maar er zijn vandaag de dag nog steeds veel bedrijven welke op Windows XP draaien en ik zou deze dan ook niet graag willen uitsluiten van mijn website. We kunnen ook denk ik wel zeggen dat ik daar niet de enige in ben, er is maar een heel klein percentage dat vandaag de dag puur en alleen gebruik maakt van Server Name Indication.