Вопрос: использование nginx с SNI


К настоящему моменту я еще не использовал SNI с nginx. Но поскольку пулы IP-адресов заполнены и коммерческая поддержка XP вот-вот прекратится (наконец), я думаю о преобразовании нескольких сайтов в SNI.

Я знаю об общих ограничениях и ошибках, которые могут возникнуть вместе с SNI (проблема XP, очень старые браузеры). Но помимо этого есть что-то, о чем я должен знать?

подобно - связанные с nginx подводные камни при использовании SNI - проблемы / ошибки с недавними (заметными!) браузерами


9
2018-04-11 12:22


Источник


nginx.org/en/docs/http/configuring_https_servers.html#sni - Alexey Ten


Ответы:


Если ваша версия nginx показывает поддержку SNI SNS, когда вы это делаете nginx -V то вы готовы идти.

Если вы хотите запустить свой server независимо от IP-адреса, тогда не используйте IP-адрес в веб-интерфейсе SSL server«s listen директивы для использования SNI для этого виртуального хоста.

Например, измените:

listen 198.51.100.206:443 ssl;

чтобы:

listen 443 ssl;

Даже если вы используете IP-адрес, SNI будет использоваться в любом случае, для всех serverс которыми listenна одном IP-адресе.


9
2018-04-11 16:45





На самом деле, это не клиентское программное обеспечение, о котором вы должны беспокоиться. В настоящее время большинство людей работают с приличным браузером, а мобильные устройства в основном безопасны.

Когда мы попытались запустить nginx с SNI, мы обнаружили, что некоторые поставщики услуг действительно отстают. В одном случае определенный поставщик онлайн-платежей просто отбрасывал HTTP-вызовы к нам, потому что их программное обеспечение было основано на действительно старой (pre-SNI) поддержке Perl-библиотеки. Пользователи, видя, что их кредитные карты не взимаются, не были поражены. Ответ провайдера был неожиданным - у них не было понятия, что у них была эта проблема. К сожалению, им понадобилось несколько месяцев, чтобы исправить это.

Я бы хотел, чтобы это был только один провайдер, но нет. Мы вернулись к отдельным IP-адресам для каждого домена.

Извлеченный урок: проверьте все программное обеспечение, которое собирается поговорить с вашим nginx.


11
2018-04-11 18:25