Ho realizzato un'applicazione web con J2EE ed avrei l'esigenza di proteggere alcune funzionalità (login e registrazione) con una connessione SSL.
È la prima volta che affronto questo aspetto, ho fatto delle ricerche ma ci sono molte cose che non mi sono chiare:

Chi fornisce l’hosting deve avere delle caratteristiche particolari?
A livello applicativo non è necessaria alcuna accortezza?
Certificato condiviso o unico? Quali differenze?

Chi fornisce l’hosting deve avere delle caratteristiche particolari? certo che si: il server web deve supportare SSL ovviamente, ossia deve essere in grado di fare connessioni crittografate/firmate/chicchessia.


A livello applicativo non è necessaria alcuna accortezza? di solito no, diciamo che é necessaria solo se una tua applicazione deve effettuare qualche connessione aprendo manualmente un socket, nel qual caso dovrebbe usare dei socket SSL (per i quali Java SE fornisce ampio supporto). per il resto, se non erro, si tratta solo di usare "https:" anziché "http:" in eventuali URL.

certo che si: il server web deve supportare SSL ovviamente, ossia deve essere in grado di fare connessioni crittografate/firmate/chicchessia.


di solito no, diciamo che é necessaria solo se una tua applicazione deve effettuare qualche connessione aprendo manualmente un socket, nel qual caso dovrebbe usare dei socket SSL (per i quali Java SE fornisce ampio supporto). per il resto, se non erro, si tratta solo di usare "https:" anziché "http:" in eventuali URL.

E generare i relativi file di criptografia... e configurare apache/tomcat opportunamente. Per il resto basta.

A meno che ti affidi ad un very-sign... però costano un bel po

Mille grazie ad entrambi per le risposte.

Quindi i passi da compiere sarebbero:

Assicurarsi che chi fornisce l'hosting consenta la configurazione del web server.
Acquisire un certificato SSL.
Configurare il tutto.
Modificare le URL che si intende proteggere.

Ho tralasciato qualcosa?
Esistono altre soluzioni?
Avere un indirizzo ip dedicato è obbligatorio?

Ho tralasciato qualcosa? a grandi linee non mi pare.


Avere un indirizzo ip dedicato è obbligatorio? é obbligatorio avere un nome DNS per fare il certificato; non so se in alternativa si puó fare anche solo con un indirizzo IP, ma indubbiamente ti conviene il nome DNS (metti che per qualche motivo sei costretto a cambiare IP? il nome DNS te lo compri e resta tuo per sempre finché lo rinnovi).