Do tej pory nie korzystałem jeszcze z SNI z nginx. Ale ponieważ pule adresów IP są dość wypełnione, a komercyjne wsparcie XP wkrótce przestanie (w końcu) myślę o konwersji kilku witryn na SNI.
Zdaję sobie sprawę z ogólnych ograniczeń i pułapek, które mogą wystąpić wraz z SNI (problem z XP, bardzo stare przeglądarki). Ale poza tym jest coś, o czym powinienem wiedzieć?
Podobnie jak pułapki związane z nginx podczas korzystania z problemów SNI / błędów w najnowszych (godnych uwagi!) Przeglądarkach
Odpowiedzi:
Jeśli twoja wersja nginx wyświetla wsparcie TLS SNI, to
nginx -Vjesteś gotowy do pracy.Jeśli chcesz, aby uruchomić
serverbez względu na adres IP, wówczas nie należy używać adresu IP w sieci SSLserver„slistendyrektyw Sni używać do tego wirtualnego hosta.Na przykład zmień:
do:
Nawet jeśli korzystasz z adresu IP, SNI i tak zostanie użyty dla wszystkich,
serverktórzy korzystająlistenz tego samego adresu IP.źródło
W rzeczywistości nie jest to oprogramowanie klienckie, o które powinieneś się martwić. Większość ludzi korzysta obecnie z porządnej przeglądarki, a urządzenia mobilne są w zasadzie bezpieczne.
Kiedy próbowaliśmy uruchomić nginx z SNI, odkryliśmy, że niektórzy dostawcy usług naprawdę byli w tyle. W jednym przypadku pewien dostawca płatności online po prostu odrzuciłby do nas połączenia HTTP, ponieważ ich oprogramowanie było oparte na naprawdę starej (Per-SNI) bibliotece Perla. Użytkownicy widzący, że karty kredytowe są obciążane bez rezultatu, nie byli rozbawieni. Odpowiedź dostawcy była zaskoczeniem - nie mieli pojęcia, że mają ten problem. Niestety, sai potrzebowali miesięcy, aby to naprawić.
Chciałbym, żeby to był tylko jeden dostawca, ale nie. W końcu wróciliśmy do osobnych adresów IP dla każdej domeny.
Wyciągnięta lekcja: sprawdź całe oprogramowanie, które będzie rozmawiać z twoim nginx.
źródło