Moin!

Warum ist das so?Das würde doch vieles ersparen,wenn man einfach zur jeder domain ein eigenes zertifikat hätte unabhängig von der IP?

SSL ist eine Schicht zwischen TCP und HTTP. Das bedeutet: Der Server erfährt bei virtuellen Hosts erst durch den HTTP-Request, welcher VHost denn eigentlich gemeint ist - und zu diesem Zeitpunkt muß mit SSL schon die Verschlüsselung hergestellt worden sein. Du kannst also nicht einen spezifischen virtuellen Host mit SSL ansprechen, weil es sonst zu einem Henne-Ei-Problem käme.

Das problem bei nur einem zertifikat ist wenn der common name (domainname) nicht übereinstimmt,dann sendet der browser eine warnmeldung was ja auch den benutzer verunsichert.

Richtig. Weil unterschiedliche Domainnamen verwendet werden, müssen unterschiedliche Zertifikate verwendet werden. Welches Zertifikat zum Einsatz kommt, würde sich nach dem virtuellen Host entscheiden - dann ist es aber schon zu spät.

Du kannst natürlich deine diversen SSL-Hosts auf unterschiedliche Ports packen. Dann wird die Unterscheidung zwischen den Hosts eben auf Portbasis getroffen, das funktioniert auch. Aber dann hast du natürlich das Problem, dass du nicht mehr nur nach https://example.com/ verlinken mußt, sondern nach https://example.com:port/ - und das ist unter Umständen dann auch wieder etwas aufwendig. Außerdem findet man diese URL mit Sicherheit nicht so leicht wieder.

- Sven Rautenberg