Začiatkom tohto roka som premigroval klientské webové stránky na hosting
od WebSupportu, lebo majú lákavú Multihosting ponuku, mal som na nich dobré
referencie a podľa ohlasov poskytujú kvalitnú technickú podporu. Za polroka
som bol s hostingom spokojný, ale účtovníčka má veľké výhrady k tomu,
akou formou WebSupport vystavuje „pred-faktúry“ (ževraj nič také
neexistuje) a tiež sa jej nepáčili ktoré údaje vo faktúrach.
Zatiaľ čo hosting funguje v poriadku, tak jednému klientovi prestal
správne fungovať Outlook a začala sa zobrazovať hláška, že certifikát
pre autodiscovery doménu je neplatný. Outlook by si mal autodiscovery službu
nakofigurovať sám pomocou DNS záznamu
_autodiscover._tcp.contoso.com. Tento záznam však hľadá
až po odskúšaní HTTPS pripojenia na domény
autodiscover.contoso.com a contoso.com na
ktorých hľadá konfiguračný XML súbor.
WebSupport však štandardne poskytuje SSL prístup ku každej hostovanej
doméne a to pomocou ich self-signed certifikátu pre doménu ..
Takýto nedôveryhodný certifikát je samozrejme problémový pre úspešné
nadviazanie spojenia. Čo je však horšie – spôsobí v Outlooku zobrazenie
dialógu pre potvrdenie nedôveryhodného certifikátu. Za normálnych
okolností by doména autodiscover.contoso.com nebola
dostupná v DNS a Outlook by ju nekontaktoval, následne by sa pokúsil o SSL
spojenie na contoso.com doménu, ktorá buď nemá SSL
prístup – a Outlook pokračuje vo vyhľadaní DNS záznamu – alebo má
administrátorom nastavený správny certifikát pre túto doménu.
Konfigurácia webhostingu na WebSupporte je podľa mňa extrémne
neštandardná a ešte nikde inde som sa s ňou nestretol. Podľa mňa
je úplná hovadina, aby niekto štandardne poskytoval pre web SSL prístup
pomocou nedôveryhodného certifikátu (pokiaľ si administrátor sám nepovie,
že chce používať takýto certifikát). Riešenie od WebSupportu spočíva
v zakúpení si vlastnej IP adresy pre obyčajný web hosting
kde by nebol povolený SSL prístup. Toto je tiež absolútne neštandardné
riešenie: každý iný hosting má zdieľanú IP adresu pre obyčajný HTTP
prístup a pokiaľ to klient vyžaduje, môže si dokúpiť IP adresu a mať na
nej vlastné SSL. (Pokiaľ sa nerozší protokol SNI.) Takémuto riešeniu od
WebSupportu vôbec nerozumiem. A ešte by som videl aj problém v možnej
penalizácii webu vyhľadávačmi, pretože web je dostupný cez chybný
certifikát (a bez toho, aby o tom často správca webu tušil).
PS: Outlook sa v konečnom dôsledku pripája na
office.contoso.com doménu na ktorej beží Exchange server,
tá je na inej IP adrese mimio WebSupportu a smaozrejme má validný
dôveryhodný SSL certifikát. Používatelia sa tak k mailom dostanú, avšak
sú otravovaný dialógom pri každom spustení Outlook – vďaka veľmi
neštandardnej a chybnej konfigurácii SSL od WebSupportu.