mit nginx mit SNI

10

Bis jetzt habe ich SNI noch nicht mit Nginx verwendet. Da die IP-Adresspools jedoch ziemlich voll sind und die kommerzielle XP-Unterstützung (endlich) eingestellt wird, denke ich darüber nach, einige Websites auf SNI umzustellen.

Ich bin mir der allgemeinen Einschränkungen und Fallstricke bewusst, die mit SNI einhergehen können (XP-Problem, sehr alte Browser). Aber gibt es darüber hinaus noch etwas, das ich beachten sollte?

Like-Nginx-bezogene Fallstricke bei der Verwendung von SNI-Problemen / Fehlern mit aktuellen (bemerkenswerten!) Browsern

justlovingIT
quelle

Antworten:

9

Wenn Ihre Version von nginx dabei TLS-SNI-Unterstützung anzeigt, können nginx -VSie loslegen.

Wenn Sie Ihre serverIP-Adresse ohne Rücksicht auf die IP-Adresse ausführen möchten, verwenden Sie keine IP-Adresse in den Anweisungen des SSL-Webs server, listenum SNI für diesen virtuellen Host zu verwenden.

Ändern Sie zum Beispiel:

listen 198.51.100.206:443 ssl;

zu:

listen 443 ssl;

Selbst wenn Sie eine IP-Adresse verwenden, wird SNI trotzdem für alle verwendet, serverdie sich listenauf derselben IP-Adresse befinden.

Michael Hampton
quelle
11

Eigentlich ist es keine Client-Software, über die Sie sich Sorgen machen sollten. Die meisten Leute betreiben heutzutage einen anständigen Browser und mobile Geräte sind grundsätzlich sicher.

Als wir versuchten, nginx mit SNI auszuführen, stellten wir fest, dass einige Dienstanbieter wirklich ins Hintertreffen geraten. In einem Fall würde ein bestimmter Online-Zahlungsanbieter nur HTTP-Anrufe an uns senden, da seine Software auf einer wirklich alten Perl-Bibliothek (Pre-SNI-Unterstützung) basiert. Benutzer, die sahen, dass ihre Kreditkarten ohne Ergebnis belastet wurden, waren nicht amüsiert. Die Antwort des Anbieters war überraschend - sie hatten keine Ahnung, dass sie dieses Problem hatten. Leider sagten sie, sie brauchten Monate, um dies zu beheben.

Ich wünschte, dies wäre nur ein Anbieter, aber nein. Am Ende gingen wir zurück zu separaten IPs für jede Domain.

Lektion gelernt: Überprüfen Sie die gesamte Software, die mit Ihrem Nginx kommunizieren soll.

dtsomp
quelle