• User

    Dominio, VPS e SSL per ecommerce

    Ciao a tutti. Vorrei rifare da zero lo store dell'azienda in cui lavora mia moglie (antiquatissimo) su un nuovo dominio. Visto che l'attuale non lo ha, vorrei acquistare un certificato SSL e, per contenere i costi, un VPS. Il sito attuale gira su un normale hosting condiviso linux. Lo store girerà con wordpress+woocommerce. Avete consigli da darmi? Chi più affidabile? Chi con costi contenuti?
    Grazie


  • Super User

    Ciao,

    con il VPS sicuramente non conterrai i costi ma li aumenterai, senza considerare la spesa per l'SSL.

    Ti consiglio di acquistare un normalissimo hosting linux condiviso senza SSL. Ti dico senza SSL in quanto l'area clienti di un ecommerce non e' considerato come dato sensibile, e come tale non necessita di SSL.

    Le transazioni che farai tramite il sito, le fai sicuramente tramite gateway esterni, e in questo caso l'ssl e' a carico del gateway esterno.

    Ciao.


  • User Attivo

    Se hai proprio bisogno di SSL prova a chiedere una quotazione al tuo attuale fornitore .. sicuramente è molto più valida come soluzione che prendersi in gestione una VPS.


  • User

    Grazie ad entrambi. Ma una SSL ha bisogno di un indirizzo ip fisso, cosa che un hosting condiviso non ha, almeno così mi pare. Per questo parlavo di VPS.


  • User Attivo

    Generalmente ne viene fornito uno dall'hosting .. sempre se è previsto come servizio aggiuntivo/opzionale.


  • Super User

    Ciao, ci sono anche hosting che ti vendono separatamente l'indirizzo IP dedicato. Solitamente e' scritto nella scheda tecnica, ma puoi sempre inviare una informativa tecnica.

    Ciao.


  • User

    Grazie ancora. L'attuale sito è su Aruba ma non credo che loro abbiano quest'opzione. Eventualmente sapete indicarmi un host che fornisce hosting linux base con possibilità di acquistare ip dedicato?


  • User Attivo

    Su Aruba non credo tu possa gestire il certificato SSL nemmeno sull'hosting "professional".

    Quello che ti serve è un hosting che ti consenta di:

    1- Aggiungere un IP dedicato al servizio "hosting condiviso"
    2- Acquistare il certificato SSL (N.B.: il certificato non è detto che te debba per forza acquistarlo dal provider hosting)

    Il VPS te lo sconsiglio vista la situazione: inizia con poco e poi valuti strada facendo gli upgrade da fare.


  • User

    Benissimo servinf. Lo store comunque ha un bel numero di utenti.. per questo avevo pensato di salire un po' di fascia. Per ciò che mi consigli tu... quale hosting mi suggeriresti?


  • User Attivo

    Ciao,

    se vuoi salire di fascia nessun problema.
    Tieni però presente che il sistema devi poi essere in grado di gestirlo.

    I suggerimenti che posso darti sono:

    1- Verifica servizi VPS dove hai garanzia delle risorse allocate (cpu, ram, disco, banda, per esempio)
    2- Vi sia possibilità di upgrade futuri (ram, vcore, etc)
    3- Il tuo provider offra (solitamente come opzione) la possibilità di installare un pannello di controllo come DirectAdmin, Plesk o cPanel
    4- La localizzazione meglio se è in Europa visto che si tratta di ecommerce: eviti problemi di fuso orario con l'assistenza, di lingua, etc. Diminiusci il n.ro di hop per raggiungere il virtuale/dedicato
    5- Valuta l'assistenza pre-vendita (fai domande per chiarire i dubbi)

    Purtroppo per ovvie ragioni non posso farti dei nomi espliciti ma darti indicazioni.


  • User

    Ciao servinf,
    grazie.. sei stato illuminante: non ho la più pallida idea di come gestire un sistema, quindi opterei per qualcosa di "già pronto", almeno per questo step... poi se il titolare vorrà sarà libero di affidare a qualcuno d più competente. Hai ragione, ho sbagliato io a chiedere il nominativo di un hosting. Valuterò alcuni servizi.


  • User

    Ciao korg.
    Secondo me la tua idea iniziale del VPS assieme al certificato SSL è la soluzione migliore.
    Capisco pure che il VPS ti possa risultare difficile da gestire quindi, se vuoi qualcosa di "pronto all'uso", valuta altre soluzioni ma, fossi in te, non rinuncerei al certificato SSL.

    Considera che i costi sono ridicoli, si parla di 50$ l'anno ma i vantaggi che ne ottieni sono tanti. Il sito ne guadagna sicuramente come immagine e gli utenti saranno più protetti.
    Mi permetto di dissentire da quanto detto da vhosting a riguardo. Qualunque area clienti necessita di un accesso, e le credenziali d'accesso sono sempre dati sensibili. Io francamente provo un certo fastidio nell'inserire le mie credenziali d'accesso tramite una connessione non cifrata.

    Per quanto riguarda il tuo dubbio sulla necessità di un ip fisso, il problema non si pone, perché potrai legare il certificato SSL al tuo al tuo dominio web a prescindere dall'indirizzo ip. Comunque, anche l'hosting condiviso ti fornisce un indirizzo ip fisso, solo che è condiviso fra più domini. Con il vps invece avresti un ip tutto tuo.
    L'unico problema che mi viene in mente, in merito all'utilizzo del certificato SSL su hosting condiviso, è che il browser di qualche dispositivo Android più vecchiotto (con versione inferiore alla 2.3 se non ricordo male), potrebbe non accedere al certificato SSL corretto e dare un warning molto fastidioso.

    ciao


  • User Attivo

    Ciao,

    non puoi attivareun certificato SSL senza IP dedicato (NON condiviso): va generata una richiesta di chiave.
    Anche su un hosting condiviso, bisogna assegnare prima l'IP e poi fare richiesta di certificato SSL: quello di default, condiviso, non può essere utilizzato perchè "sharato" con altri clienti.

    L'ip DEDICATO può essere richiesto anche suglil hosting ma viene sempre considerato come opzione a parte dal proprio provider.

    Stesso discorso per l'ultima parte del tuo post: se il certificato non è emesso da una CA valida (GeoTrust, VeriSign, etc) il warning di cui parli (certificato self signed) compare lo stesso. Sia su VPS sia su hosting condiviso.

    EDIT: l'hosting condiviso di Aruba non credo proprio offra il servizio di IP dedicato + Certificato SSL.


  • User

    Ciao servinf,
    sono d'accordo: devi generare una chiave privata ed una pubblica, poi una richiesta di certificato ed inviarla ad una Autorità di Certificazione riconosciuta (GeoTrust, VeriSign, etc).
    Ma per fare ciò ti serve un dominio, non un indirizzo ip dedicato. Il certificato che ti verrà rilasciato garantirà che la chiave usata dalle tue pagine cifrate appartenga al tuo dominio non al tuo indirizzo ip.

    Il server web può tranquillamente condividere l'ip con diversi virtualhost (quindi diversi domini) ma deve essere configurato in modo da fornire un certificato differente per ogni virtualhost che gestisce.

    Il warning cui mi riferivo nell'ultima parte del mio post precedente lo si ottiene se si usa un browser vecchio che non supporta il Server Name Indication (SNI) e ci si collega ad un sito ospitato in hosting condiviso.L'estensione SNI del protocollo TLS consente al browser di inviare il nome del dominio richiesto al server-web prima di stabilire la connessione cifrata. In questo modo il web-server, conoscendo il nome del dominio, può risponde al browser fornendo il certificato corretto, ovvero quello appartenente al dominio richiesto. Senza il Server Name Indication il web-server non è in grado di determinare il dominio richiesto e fornirà il certificato ssl del virtualhost di default. Poiché quest'ultimo non coinciderà con il dominio richiesto il browser darà un allarme.
    Se non sei su hosting condiviso, ed hai un ip tutto tuo, questo problema non ce l'hai. Ecco perché dicevo che mi sembra l'unico inconveniente di avere un certificato SSL su hosting condiviso.


  • User Attivo

    Credo nessun provider ti consenta di usare SNI su hosting condiviso.

    Per due motivi:

    1- Perderebbe il business dell'ip dedicato
    2- Dovrebbe poi giustificare verso il cliente come mai alcune volte "esce" il messaggio d'errore. Meglio andare sul sicuro e verso una soluzione funzionante.

    EDIT: per un certificato SSL "tradizionale" (senza SNI attivo) occorre sempre un IP dedicato


  • User

    Si,
    in effetti io valutavo la faccenda solo sotto il punto di vista della fattibilità tecnica. Son d'accordo con te, per un provider (e, finché l'SNI non diventa supportato da tutti i browser, anche per gli utenti) meglio andare sul sicuro.