[LUG.ro Mix] Certificados SSL Libres?
Patricio Keilty
patricio.keilty en gmail.com
Jue Oct 1 16:04:37 ART 2009
2009/9/30 Patricio Keilty
> 2009/9/30 Martin Troncoso
>
> El Wednesday 30 September 2009 15:29:42 Patricio Keilty escribió:
>> > Hola,
>> > tenemos un cliente que tiene problemas con su Certificado TSL/SSL en un
>> > shared hosting, está extendido (por una Trusted Authority) para el
>> nombre
>> > de dominio ej. www.example.com (con www delante) entonces cuando los
>> > usuarios del sitio acceden mediante www.example.com/ todo bien, pero
>> cuando
>> > lo hacen a example.com/. Estuve googleando un poco y encontré estas (
>> >
>> http://en.wikipedia.org/wiki/Transport_Layer_Security#Support_for_name-base
>> >d_virtual_servers) posibles soluciones:
>> >
>> > - obtener un wildcard certificate que permitiría que seá válido para
>> el
>> > dominio base y los subdominios ( *.example.com ); esta opción al
>> parecer
>> > es MUY cara!
>> > - emplear una extensión del certificado con "subjectAltName" para el
>> > subdominio en cuestión
>> >
>> > algunas otras que vi sugeridas por ahí y que se me ocurrieron como
>> > alternativas:
>> >
>> > - obtener otro certificado para el dominio sin www (example.com)
>> > - generar un wildcard certificate o certificados con alguna TA que no
>> > cobre ?? o bien generar los propios
>> >
>> > Quisiera, si son tan amables comentaran si se han topado con este
>> problema,
>> > cómo lo solucionaron o qué sugerencias me darían?
>> > Aclaro que no soy experto en el tema (como ya habrán notado :P), tal vez
>> > hay otras alternativas viables... tengo que evaluar todas las
>> alternativas
>> > con el cliente para ver que salida le conviene mas.
>> >
>> > gracias anticipadas, saludos
>> > --patricio
>>
>> Para ese problema puntual yo usaria una regla rewrite a www.example.com y
>> listo, me parece la solucion mas rapido y comoda sin tener que tocar los
>> certificados
>>
>
> Hola Martín,
> gracias por la sugerencia... de hecho la había pensado, pero por alguna
> razón lo había descartado el cliente (tengo que averiguar).
>
Averigué, el problema que plantearon con el Rewrite de Apache, es que
entrando directamente por HTTPS a la tienda virtual se verifica el
certificado antes que Apache haga el redirect, entonces el navegador informa
que el sitio no tiene un certificado auténtico .... de todos modos yo les
sugerí que usen el Rewrite porque es muy improbable que entren directamente
a la sección segura de forma directa con HTTPS, de todas maneras creo que se
van a convencer cuando vean lo que tienen que pagar por otro certificado,
jeje.
saludos,
--p
Más información sobre la lista de distribución Lugro-mix