Terve,
olisi sellainen "ongelma", että pitäisi hankkia wildcard TLS-sertifikaatti domainille, jolloin voisi luoda lennosta juttuja subdomaineihin *.domain.com. Kuvapalvelin tulee kuitenkin sijaitsemaan eri IP:n takana omalla dedicatedilla, josta kuvat ladataan pääosin dynaamisesti jälkikäteen (images.domain.com).
Osaako joku sanoa tai onko hyvää ratkaisua siihen, miten sertifikaattien puolesta hoitaa tuo? Nyt jos sivut servataan *.domain.comin takaa TLS-protokollan kautta ja kuvat ladataan tavallisen HTTP-protokollan kautta suojatulle sivulle, tulee kait useimmissa selaimissa varoitus sivun sekasisällöstä useimmissa käyttötapauksissa.
Onko se esim. mahdollista, että hommaa tuon wildcard sertifikaatin sivuja servaavalle IP:lle ja lisäksi images.domain.com osoitteelle toinen sertifikaatti eri IP:lle? Syntyykö jotain sekamelskaa, sillä tuon images.domain.com -osoitteenkin voidaan katsoa kuuluvan *.domain.com alaisuuteen?
- Sertifikaatteja ei hommata IP:lle.
- images.domain.com luonnollisesti toimii *.domain.com -sertifikaatilla.
- Sertifikaateilla ei ole mitään merkitystä tilanteessa, jossa osa sisällöstä ladataan http:llä (eli oli mikä sertifikaatti tahansa niin saat selaimelta varoituksen)
Jees, jostain jäänyt muistikuva, että sertifikaatti olisi joltain osin IP-sidonnainen eikä muutoin ole aiemmin ollut tarvetta hommata maksullisia sertifikaatteja.
Mutta voin ilmeisesti siis ilman ongelmia asentaa saman wildcard-sertifikaatin usean eri palvelimen eteen ja ladata sivustolle tekstisisällön ja kuvat (jälkilatauksena JS:llä) eri palvelimilta ilman selainvaroituksia?
No kyllä kai se varoitus tulee siinä vaiheessa kun lataat ne kuvat http:llä vaikka olisikin jälkilatauksella.
Niin siis ajatuksena oli kyllä pistää kuvatkin valumaan HTTPS-protokollan kautta (jälkilatauksena) juuri tuon vuoksi, että tavallisella HTTP:llä osaa sisällöstä servaamalla noita varoituksia satelee. Ehkä vähän sekavasti esitetty kysymys, kyllä.
Mutta jos tuo sama wildcard certti käy useammalle servulle, ilmeisesti ongelmaa ei sen suhteen ole.
Kyllä, noin ei ole ongelmaa.
Aihe on jo aika vanha, joten et voi enää vastata siihen.