używając nginx z SNI

10

Do tej pory nie korzystałem jeszcze z SNI z nginx. Ale ponieważ pule adresów IP są dość wypełnione, a komercyjne wsparcie XP wkrótce przestanie (w końcu) myślę o konwersji kilku witryn na SNI.

Zdaję sobie sprawę z ogólnych ograniczeń i pułapek, które mogą wystąpić wraz z SNI (problem z XP, bardzo stare przeglądarki). Ale poza tym jest coś, o czym powinienem wiedzieć?

Podobnie jak pułapki związane z nginx podczas korzystania z problemów SNI / błędów w najnowszych (godnych uwagi!) Przeglądarkach

justlovingIT
źródło

Odpowiedzi:

9

Jeśli twoja wersja nginx wyświetla wsparcie TLS SNI, to nginx -Vjesteś gotowy do pracy.

Jeśli chcesz, aby uruchomić serverbez względu na adres IP, wówczas nie należy używać adresu IP w sieci SSL server„s listendyrektyw Sni używać do tego wirtualnego hosta.

Na przykład zmień:

listen 198.51.100.206:443 ssl;

do:

listen 443 ssl;

Nawet jeśli korzystasz z adresu IP, SNI i tak zostanie użyty dla wszystkich, serverktórzy korzystają listenz tego samego adresu IP.

Michael Hampton
źródło
11

W rzeczywistości nie jest to oprogramowanie klienckie, o które powinieneś się martwić. Większość ludzi korzysta obecnie z porządnej przeglądarki, a urządzenia mobilne są w zasadzie bezpieczne.

Kiedy próbowaliśmy uruchomić nginx z SNI, odkryliśmy, że niektórzy dostawcy usług naprawdę byli w tyle. W jednym przypadku pewien dostawca płatności online po prostu odrzuciłby do nas połączenia HTTP, ponieważ ich oprogramowanie było oparte na naprawdę starej (Per-SNI) bibliotece Perla. Użytkownicy widzący, że karty kredytowe są obciążane bez rezultatu, nie byli rozbawieni. Odpowiedź dostawcy była zaskoczeniem - nie mieli pojęcia, że ​​mają ten problem. Niestety, sai potrzebowali miesięcy, aby to naprawić.

Chciałbym, żeby to był tylko jeden dostawca, ale nie. W końcu wróciliśmy do osobnych adresów IP dla każdej domeny.

Wyciągnięta lekcja: sprawdź całe oprogramowanie, które będzie rozmawiać z twoim nginx.

dtsomp
źródło