Serveur virtuel Suisse

  1. Home
  2. »
  3. Informatique
  4. »
  5. Serveur virtuel Suisse
Addresse:
Route de Lausanne, Genève 1205
Description:

L'hébergement virtuel est la pratique consistant à desservir plusieurs sites web sur un même serveur. Bien que ce soit la norme de nos jours, cela n'était pas possible aux débuts du protocole HTTP (versions antérieures à 1.1).

Au départ, un serveur pouvait héberger plusieurs sites web sur la même machine (c'est-à-dire avec la même adresse IP) à condition que chaque site web se voie attribuer un port dédié. Ce n'était pas une solution idéale car le navigateur mène au port 80 par défaut pour HTTP, à moins que l'utilisateur n'en spécifie un autre. En conséquence, la plupart des propriétaires de sites web ont opté pour un serveur dédié afin d'éviter le risque que les utilisateurs ne se souviennent pas du numéro de port correct et se retrouvent sur un autre site web.

Hébergement de plusieurs sites sur plusieurs ports

Cependant, à mesure que de plus en plus d'utilisateurs se sont connectés au Web et que de plus en plus de dispositifs de réseau ont commencé à apparaître en ligne, le nombre d'adresses IP disponibles a commencé à diminuer à un rythme alarmant. Ce premier épuisement, connu sous le nom d'épuisement de la plage d'adresses IPv4, a incité l'industrie à concevoir et à mettre en œuvre diverses contre-mesures, telles que l'IPv6 (successeur de l'IPv4), qui peut prendre en charge plus d'adresses que nous n'en aurons jamais besoin. Malheureusement, si l'IPv6 est une solution viable, son adoption a été plutôt lente. Selon les statistiques IPv6 de Google, au moment où nous écrivons ces lignes, environ 25 % des dispositifs Internet sont déployés sur IPv6.

L'hébergement virtuel a également été mis en œuvre comme une solution précoce au problème de l'épuisement, avec l'introduction des en-têtes Host dans HTTP 1.1. Les navigateurs qui communiquent via HTTP 1.1 peuvent désormais se connecter à un port de serveur 80 et inclure le nom de domaine (par exemple www.ssl.com) du site web qu'ils souhaitent visiter dans l'en-tête Host. Quel que soit le nombre de sites hébergés par un serveur sur le même port, il pourrait utiliser cette information pour identifier le bon site et renvoyer son contenu.

Hébergement de plusieurs sites sur un seul port : l'hébergement virtuel
HTTPS et hébergement virtuel

De nombreux rapports publiés sur les vulnérabilités des réseaux et les attaques contre les utilisateurs du Web ont cependant incité le secteur à s'éloigner du HTTP non sécurisé pour se tourner vers son alternative plus sûre, le HTTPS. L'adoption à grande échelle du HTTPS a amélioré la sécurité générale des utilisateurs. Toutefois, ses améliorations supplémentaires ont également accru la complexité globale des communications sur le web.

En principe, le HTTPS est assez similaire au HTTP, à l'exception du fait que les communications HTTPS entre les navigateurs et les serveurs sont cryptées. En bref, le HTTPS exige des serveurs qu'ils fournissent aux navigateurs un certificat SSL valide émis par une autorité de certification (AC) de confiance publique, comme SSL.com. Un navigateur peut alors utiliser la clé publique contenue dans le certificat pour établir un canal de communication crypté avec le serveur. En outre, un certificat est délivré pour un nom de domaine spécifique, dont le navigateur vérifie la correspondance avec le domaine que l'utilisateur souhaite visiter. Par conséquent, quel que soit le nombre de sites web hébergés par le serveur, les navigateurs s'attendent à trouver un certificat SSL valide pour le site web demandé.

Le lecteur attentif peut déjà percevoir le problème : le navigateur a besoin du bon certificat de site web pour établir le canal crypté et envoyer l'en-tête Host, tandis que le serveur a besoin de l'en-tête Host pour localiser le bon certificat de site web. C'est un problème classique de la poule et de l'œuf.
Remarque : bien que le terme d'hébergement virtuel ait été initialement inventé pour les sites HTTP, il a également été transféré au HTTPS. Il s'agit de la même pratique consistant à héberger plusieurs sites web sur un seul serveur, quelle que soit la méthode de déploiement utilisée.

Il est clair que l'hébergement virtuel tel qu'il est conçu pour le HTTP ne fonctionne pas pour le HTTPS, car les contrôles de sécurité empêchent les navigateurs d'envoyer les informations de l'hôte au serveur. Toutefois, le problème de l'épuisement d'IPv4 n'étant toujours pas résolu et l'industrie adoptant de plus en plus les technologies de l'informatique dématérialisée (qui nécessitent un équilibrage de la charge et de multiples serveurs dorsaux à basculement), l'hébergement virtuel reste une nécessité.

Qu'en est-il des certificats multi-domaines ?

Une solution proposée à ce problème est l'utilisation de plusieurs domaines ou de certificats SAN. Un seul certificat SAN peut protéger des centaines de noms de domaine différents, et les navigateurs ne se plaindront pas s'ils trouvent le nom de domaine qu'ils essaient de visiter dans la liste des domaines du certificat SAN. Après avoir configuré le canal crypté, le navigateur peut envoyer le fichier d'en-tête de l'hôte au serveur et continuer comme dans tous les autres cas. C'est une excellente idée qui utilise une technologie déjà présente et disponible, mais les mêmes mécanismes qui assurent la sécurité des certificats SAN ont également introduit certains effets secondaires potentiellement indésirables :

Les certificats SAN sont un excellent moyen de protéger plusieurs domaines appartenant à la même entité (personne, société ou organisation), mais ils sont quelque peu peu peu pratiques à utiliser dans le cadre de l'hébergement partagé ; chaque fois qu'un nouveau domaine est prêt à être ajouté ou retiré du certificat, l'AC doit délivrer un nouveau certificat avec la dernière liste de domaines et le redistribuer sur tous les domaines.

En outre, les certificats SAN ne peuvent être délivrés en tant qu'organisation validée (OV) ou organisation validée étendue (EV) que si tous les domaines appartiennent à la même organisation. Ces niveaux de validation font référence à la quantité et aux types d'informations du propriétaire potentiel du certificat qui sont vérifiées par l'AC avant de lui délivrer le certificat. Il a été démontré que plus le niveau de validation est élevé, plus les utilisateurs font confiance au site web, et la confiance des utilisateurs peut affecter la reconnaissance de la marque et les taux de conversion.

Enfin, il est assez courant dans les environnements d'hébergement web partagé qu'une entreprise partage un serveur avec d'autres entreprises ou organisations (même ses concurrents). Comme les domaines des certificats SAN sont cotés en bourse, les propriétaires d'entreprises peuvent être réticents à partager le même certificat avec des sociétés tierces.

Bien que les certificats SAN soient des outils puissants et polyvalents aux applications innombrables, ces questions ont motivé l'IETF - l'organisme gouvernemental de normalisation de l'Internet - à rechercher des approches mieux adaptées au problème spécifique des sites Web HTTPS hébergés virtuellement.
Indication de sauvegarde du serveur de noms

La solution a été mise en œuvre sous la forme d'une extension SNI (Server Name Indication) du protocole TLS (la partie du HTTPS qui traite du cryptage).

SNI permet aux navigateurs de spécifier le nom de domaine auquel ils souhaitent se connecter pendant la poignée de main TLS (la négociation initiale du certificat avec le serveur). Ainsi, les sites web peuvent utiliser leurs certificats SSL tout en étant hébergés sur une adresse IP et un port partagés, car les serveurs HTTPS peuvent utiliser les informations SNI pour identifier la chaîne de certificats appropriée requise pour établir la connexion.

Ensuite, lorsque le canal de communication crypté a été configuré, le navigateur peut procéder à l'inclusion du nom de domaine du site web dans l'en-tête Host et continuer comme il le ferait normalement. En substance, le SNI remplit la même fonction que l'en-tête HTTP Host lors de la création de la connexion cryptée.
Hébergement de sites web virtuels HTTPS avec SNI

Cette simple astuce a finalement permis aux serveurs d'héberger plusieurs sites web HTTPS sur le même port. Toutefois, comme la plupart des technologies Internet, le SNI présente certaines limites.
Préoccupations concernant le soutien du SNI

Bien que le SNI ait atteint une certaine maturité depuis sa création en 1999, certains navigateurs (IE sur Windows XP) et systèmes d'exploitation (versions Android <= 2.3) ne le prennent pas en charge. Pour une liste complète des navigateurs et des systèmes d'exploitation qui prennent en charge le SNI, consultez ce tableau.

Bien que les parts de marché des navigateurs qui ne prennent pas en charge le SNI (et par extension les occurrences de ce qui se passe) soient minuscules par rapport aux navigateurs modernes, si un navigateur ne reconnaît pas le SNI, il reviendra au certificat SSL par défaut et produira potentiellement une erreur de correspondance de nom commune.

De nombreuses entreprises, comme Google, mettent en œuvre le SNI pour les clients qui le soutiennent et ont recours aux certificats SAN pour les rares cas où ce n'est pas le cas. Bien entendu, ce problème devrait s'atténuer à mesure que les utilisateurs et les chefs d'entreprise seront plus nombreux à mettre leurs systèmes au niveau des technologies modernes.
Préoccupations du SNI en matière de protection de la vie privée

La version stable actuelle de TLS (version 1.2) transmet la partie initiale de la poignée de main et, par extension, les informations SNI, en clair. Ainsi, un utilisateur de réseau malveillant peut découvrir l'historique Web d'un utilisateur, même si les communications Web elles-mêmes sont entièrement cryptées.

Divers fournisseurs de services dans le nuage, comme Amazon ou Google, ont mis en place une solution (sale) connue sous le nom de "domain fronting". Le frontage de domaine peut empêcher la divulgation de l'historique du web car il obscurcit les informations SNI en utilisant le nom d'hôte du fournisseur de cloud dans la négociation TLS et le site de destination se trouve dans l'en-tête HTTP. Cependant, cette méthode n'est plus viable, car Google et Amazon ont déclaré publiquement qu'ils ont désactivé le soutien au fronting de domaine dans leurs services depuis avril 2018.

Heureusement, une solution plus systémique a été proposée sous la forme d'un projet de fichier expérimental détaillant l'extension SNI cryptée (ESNI) pour la dernière version TLS, 1.3. L'ESNI crypte les informations du SNI, atténuant ainsi toutes les préoccupations relatives à la vie privée. Malheureusement, TLS 1.3 n'est pas encore largement adopté par l'industrie, bien que TLS 1.3 devienne lentement le protocole de sécurité des réseaux de facto. Gardez un œil sur nos futurs articles sur le statut de l'ESNI et la vie privée des HTTPS et TLS.

Contact Information
Téléphone: +41 26 309 27 27

Send message to listing owner

Send message to moderator