Moin!

Dein toller Tip, einfach https:// vor die URLs zu schreiben,
funktioniert also nur in seltenen Ausnahmefaellen.

Und ein wichtiger Grund dafür dürfte sein, dass man für SSL ein Zertifikat benötigt - so ein Zertifikat macht aber nur Sinn, wenn die Besucher ihm vertrauen können. Und das Vertrauen wird durch die digitale Unterschrift einer Zertifizierungsstelle hergestellt.

Alle aktuellen Browser werden mit den öffentlichen Zertifikaten aller möglichen Stellen ausgeliefert, die der Browserhersteller als vertrauenswürdig einstuft. Der Sinn: Signierte SSL-Zertifikate werden vom Browser ohne Sicherheitshinweis akzeptiert (und genau so sollte es eben sein, denn wenn beispielsweise beim Besuch der Online-Banking-Seite so ein Sicherheitshinweis auftaucht, dann ist höchste Alarmstufe gegeben!). Damit aber die Zertifizierungsstelle die Unterschrift unter das SSL-Zertifikat setzt, will sie Geld sehen.

Mit anderen Worten: Der vernünftige Betrieb eines SSL-Servers kostet extra Geld. Das sind durchaus 100 Euro und mehr im Jahr.

Mit einem selbstgemachten Zertifikat kriegt man zwar immerhin Verschlüsselung, aber der zweite Nachteil bei SSL ist auch nicht von der Hand zu weisen: SSL benötigt eine eigene IP-Adresse je Domainname. Und weil viele Domains als virtuelle Hoste auf einem einzigen Server liegen, der nur insgesamt eine IP-Adresse hat, ist es logisch, dass es für all diese Domains gar keinen SSL-Zugang geben _kann_.

Die grob 46,9 Millionen Domainnamen, die registriert sind (laut http://www.denic.de/de/domains/statistiken/domainvergleich_tlds/index.html) würden  logischerweise 46,9 Millionen IP-Adressen verbrauchen, wenn sie alle SSL anbieten würden. Wobei das die _Mindestzahl_ ist. "example.org" und "www.example.org" sind zwei verschiedene Domainnamen, also brauchen sie auch zwei verschiedene SSL-Server und damit zwei IPs.

Da der IP-Adressraum nur maximal 224*16 Millionen IP-Adressen insgesamt zuläßt (abzüglich einiger Reservierungen, die in RFC 3330 ftp://ftp.rfc-editor.org/in-notes/rfc3330.txt zusammengefaßt wurden), würde der Adressraum also schon zu 1% ausgenutzt.

Da es unwahrscheinlich ist, dass IP-Adressen "dicht" zusammenliegend genutzt werden, dürften geschätzt die Hälfte aller Adressen sowieso ungenutzt sein. Macht also schon einen Anteil von 2%.

Irgendwie wollen die User ja aber auch ins Internet rein. Dynamische IPs helfen hierbei zwar, aber trotzdem kann man irgendwie erwarten, dass für jede Server-IP vielleicht 99 Nutzer-IPs bestehen. Und schon wäre der IP-Adressraum zu 200% ausgenutzt.

:)

Wie gut, dass es virtuelle Hosts gibt. ;)

- Sven Rautenberg

Moin!

Also, damit auch die ganzen Faulpelze...

... so wie ich... :)

... meinem Punkt folgen können:
Der Webserver auf www.informatik.hu-berlin.de verwendet als CN in seinem Zertifikat "(www.informatik|www2.informatik|www.math-natII).hu-berlin.de", damit gilt das Zertifikat sowohl für www.informatik.hu-berlin.de, als auch für www2.informatik.hu-berlin.de als auch für www.math-natII.hu-berlin.de. Der Mailserver auf sigma verwendet in seinem Zertifikat als CN "(sigma|sigma2|mailslv1).informatik.hu-berlin.de", womit das Zertifikat auch zusätzlich für sigma2 und mailslv1 gilt.

Interessant, das war mir bislang noch nicht bekannt. Wobei ich gerne zugebe, dass ich mich so tief mit SSL dann doch noch nicht beschäftigt habe.

- Sven Rautenberg