我需要一些建议。
我们有一个电子商务网站托管在 HostGator。昨天我订购了 RapidSSL 证书,他们为我自动配置了证书,这使得https://www.ourdomain.com运行良好。我认为一切都进展顺利,并连夜继续推动应用程序的上线,并使用支付网关进行一些测试。
今天早上我发现人们在访问该网站时遇到了问题,尽管对我来说一切正常。似乎添加 SSL 证书会使 DNS 失效,因此必须重新传播。HostGator 确实提到,他们会随证书一起为我们提供专用 IP 地址。
使用http://www.startping.com尝试从世界各地 ping 该域名,我发现只有一半左右指向正确的 IP。其余的则指向一些我们一开始甚至没有使用的随机 IP。
总结:我为我们的网站添加了 SSL 证书,但现在该网站在全球多个地方都无法访问。这是 DNS 传播问题还是我不知道的其他“问题”?
答案1
这是正常的 - 他们应该已经警告过你了 - 并且你应该预料到至少第二天会出现中断(如果你幸运的话,那么下个月就会出现中断)。
旧版本的 SSL 需要自己的 IP。SNI 是一种“现代”技术,允许多个站点共享一个 IP,就像标准 HTTP 可以通过虚拟主机共享一样。不过,SNI 大约有 80% 的支持率,20% 就足以保证没有大型托管站点会支持它。因此,当您实施 SSL 时,您需要自己的 IP 地址(您可能也会为此支付更多费用)。
由于您正在切换 IP 地址,因此任何缓存了旧 IP 的用户都需要花费一些时间来获取新 IP。您的 TTL 为 4 小时,因此过去 4 小时内未访问过您网站的用户应该现在就可以正常工作了。有些 DNS 服务器不遵守规则(而且很难识别它们,因此无法采取任何措施 - 尽管我真的很想这样做),并且会随意缓存您的条目(这可能意味着一段时间内会出现故障)。
这在托管行业中非常常见,尽管我的主机商对中断等问题发出了巨大的红色警告(他们不遗余力地解释了这些问题,很可能他们厌倦了向那些不知道的人解释)。我很想惊讶您的托管提供商没有这样做,但老实说,他们可能每月收取不到 5 美元的基本托管套餐费用(SSL、域名、IP 等均需额外支付),并且打赌他们不会让您生气到离开。
答案2
虽然其他答案涉及从共享 IP 到专用 IP 的变化以支持 SSL,但有一件事被忽略了。
您的域名有四个名称服务器:
NS1541.HOSTGATOR.COM
NS1542.HOSTGATOR.COM
NS3.MONIKERDNS.NET 207.189.109.118
NS4.MONIKERDNS.NET 63.149.176.26
服务器返回的 IP 地址HOSTGATOR.COM与 返回的地址不一致MONIKERDNS.NET,除非解决这个问题,否则人们将会被随机发送到错误的地方。
答案3
是的,这是正常的。
使用 HTTP,您可以发送 HTTP(不是 HTTPS)GET 标头,其中说明您想要哪个页面以及您想要从哪个域获取该页面。在标头中发送域,使得可以在一个 Web 服务器上为多个域提供数据。
使用 HTTPS 时,您必须先验证证书,然后发送请求,因此 Web 服务器不知道您在启动握手时尝试访问哪个域,因此一个 Web 服务器上可能只有一个域(一个证书)*(*这已通过 SNI 修复,但遗憾的是某些浏览器仍然不支持 SNI,例如 IE6、2.x 版本的 android 浏览器等)
因此,为了使您的 HTTPS 网页在所有浏览器上运行,它必须位于单独的 IP 上(其他 https 页面不能使用它),所以您的 DNS 条目必须指向该新 IP。
根据您的 TTL 设置,重新分配您的 IP 地址更改需要一些时间。