Bis jetzt habe ich SNI noch nicht mit Nginx verwendet. Da die IP-Adresspools jedoch ziemlich voll sind und die kommerzielle XP-Unterstützung (endlich) eingestellt wird, denke ich darüber nach, einige Websites auf SNI umzustellen.
Ich bin mir der allgemeinen Einschränkungen und Fallstricke bewusst, die mit SNI einhergehen können (XP-Problem, sehr alte Browser). Aber gibt es darüber hinaus noch etwas, das ich beachten sollte?
Like-Nginx-bezogene Fallstricke bei der Verwendung von SNI-Problemen / Fehlern mit aktuellen (bemerkenswerten!) Browsern
Antworten:
Wenn Ihre Version von nginx dabei TLS-SNI-Unterstützung anzeigt, können
nginx -V
Sie loslegen.Wenn Sie Ihre
server
IP-Adresse ohne Rücksicht auf die IP-Adresse ausführen möchten, verwenden Sie keine IP-Adresse in den Anweisungen des SSL-Websserver
,listen
um SNI für diesen virtuellen Host zu verwenden.Ändern Sie zum Beispiel:
zu:
Selbst wenn Sie eine IP-Adresse verwenden, wird SNI trotzdem für alle verwendet,
server
die sichlisten
auf derselben IP-Adresse befinden.quelle
Eigentlich ist es keine Client-Software, über die Sie sich Sorgen machen sollten. Die meisten Leute betreiben heutzutage einen anständigen Browser und mobile Geräte sind grundsätzlich sicher.
Als wir versuchten, nginx mit SNI auszuführen, stellten wir fest, dass einige Dienstanbieter wirklich ins Hintertreffen geraten. In einem Fall würde ein bestimmter Online-Zahlungsanbieter nur HTTP-Anrufe an uns senden, da seine Software auf einer wirklich alten Perl-Bibliothek (Pre-SNI-Unterstützung) basiert. Benutzer, die sahen, dass ihre Kreditkarten ohne Ergebnis belastet wurden, waren nicht amüsiert. Die Antwort des Anbieters war überraschend - sie hatten keine Ahnung, dass sie dieses Problem hatten. Leider sagten sie, sie brauchten Monate, um dies zu beheben.
Ich wünschte, dies wäre nur ein Anbieter, aber nein. Am Ende gingen wir zurück zu separaten IPs für jede Domain.
Lektion gelernt: Überprüfen Sie die gesamte Software, die mit Ihrem Nginx kommunizieren soll.
quelle