Začiatkom tohto roka som premigroval klientské webové stránky na hosting od WebSupportu, lebo majú lákavú Multihosting ponuku, mal som na nich dobré referencie a podľa ohlasov poskytujú kvalitnú technickú podporu. Za polroka som bol s hostingom spokojný, ale účtovníčka má veľké výhrady k tomu, akou formou WebSupport vystavuje „pred-faktúry“ (ževraj nič také neexistuje) a tiež sa jej nepáčili ktoré údaje vo faktúrach.
Zatiaľ čo hosting funguje v poriadku, tak jednému klientovi prestal správne fungovať Outlook a začala sa zobrazovať hláška, že certifikát pre autodiscovery doménu je neplatný. Outlook by si mal autodiscovery službu nakofigurovať sám pomocou DNS záznamu _autodiscover._tcp.contoso.com. Tento záznam však hľadá až po odskúšaní HTTPS pripojenia na domény autodiscover.contoso.com a contoso.com na ktorých hľadá konfiguračný XML súbor.
WebSupport však štandardne poskytuje SSL prístup ku každej hostovanej doméne a to pomocou ich self-signed certifikátu pre doménu .. Takýto nedôveryhodný certifikát je samozrejme problémový pre úspešné nadviazanie spojenia. Čo je však horšie – spôsobí v Outlooku zobrazenie dialógu pre potvrdenie nedôveryhodného certifikátu. Za normálnych okolností by doména autodiscover.contoso.com nebola dostupná v DNS a Outlook by ju nekontaktoval, následne by sa pokúsil o SSL spojenie na contoso.com doménu, ktorá buď nemá SSL prístup – a Outlook pokračuje vo vyhľadaní DNS záznamu – alebo má administrátorom nastavený správny certifikát pre túto doménu.
Konfigurácia webhostingu na WebSupporte je podľa mňa extrémne neštandardná a ešte nikde inde som sa s ňou nestretol. Podľa mňa je úplná hovadina, aby niekto štandardne poskytoval pre web SSL prístup pomocou nedôveryhodného certifikátu (pokiaľ si administrátor sám nepovie, že chce používať takýto certifikát). Riešenie od WebSupportu spočíva v zakúpení si vlastnej IP adresy pre obyčajný web hosting kde by nebol povolený SSL prístup. Toto je tiež absolútne neštandardné riešenie: každý iný hosting má zdieľanú IP adresu pre obyčajný HTTP prístup a pokiaľ to klient vyžaduje, môže si dokúpiť IP adresu a mať na nej vlastné SSL. (Pokiaľ sa nerozší protokol SNI.) Takémuto riešeniu od WebSupportu vôbec nerozumiem. A ešte by som videl aj problém v možnej penalizácii webu vyhľadávačmi, pretože web je dostupný cez chybný certifikát (a bez toho, aby o tom často správca webu tušil).
PS: Outlook sa v konečnom dôsledku pripája na office.contoso.com doménu na ktorej beží Exchange server, tá je na inej IP adrese mimio WebSupportu a smaozrejme má validný dôveryhodný SSL certifikát. Používatelia sa tak k mailom dostanú, avšak sú otravovaný dialógom pri každom spustení Outlook – vďaka veľmi neštandardnej a chybnej konfigurácii SSL od WebSupportu.
Stanislav Filípek says:
Je to otravné stále potvrdzovať certifikát, nedá sa to nejako obísť?
Klienti majú stále s tým problémy.