usando nginx con SNI


10

Ormai non ho ancora usato SNI con nginx. Ma poiché i pool di indirizzi IP sono abbastanza pieni e il supporto commerciale di XP sta per cessare (finalmente) sto pensando di convertire alcuni siti in SNI.

Sono a conoscenza delle limitazioni generali e delle insidie ​​che potrebbero derivare da SNI (problema XP, browser molto vecchi). Ma oltre a ciò c'è qualcosa di cui dovrei essere consapevole?

Like - nginx relative insidie ​​quando si utilizza SNI - problemi / bug con browser recenti (notevoli!)


Risposte:


9

Se la tua versione di nginx mostra il supporto TLS SNI quando lo fai, nginx -Vallora sei pronto per partire.

Se si desidera eseguire il serversenza riguardo per l'indirizzo IP, quindi non utilizzare un indirizzo IP nel web SSL server's listendirettive di utilizzare SNI per questo host virtuale.

Ad esempio, modifica:

listen 198.51.100.206:443 ssl;

per:

listen 443 ssl;

Anche se si utilizza un indirizzo IP, SNI verrà comunque utilizzato, per tutti gli indirizzi serverche si trovano listensullo stesso indirizzo IP.


11

In realtà, non dovresti preoccuparti del software client. La maggior parte delle persone gestisce un browser decente al giorno d'oggi e i dispositivi mobili sono sostanzialmente sicuri.

Quando abbiamo provato a eseguire nginx con SNI, abbiamo scoperto che alcuni fornitori di servizi erano davvero in ritardo. In un caso, un determinato fornitore di pagamenti online avrebbe semplicemente lasciato cadere le chiamate HTTP verso di noi perché il suo software era basato su una libreria Perl davvero vecchia (supporto pre-SNI). Gli utenti che vedono addebitare le loro carte di credito senza risultati non sono divertiti. La risposta del provider è stata sorprendente: non avevano idea di avere questo problema. Purtroppo, sanno di aver bisogno di mesi per risolvere questo problema.

Vorrei che questo fosse solo un fornitore, ma no. Alla fine siamo tornati a IP separati per ciascun dominio.

Lezione imparata: controlla tutto il software che parlerà con il tuo nginx.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.