Sampai sekarang saya belum menggunakan SNI dengan nginx. Tetapi karena kumpulan alamat IP cukup diisi dan dukungan XP komersial akan berhenti (akhirnya) saya sedang berpikir untuk mengubah beberapa situs menjadi SNI.
Saya menyadari keterbatasan umum dan jebakan yang mungkin datang bersama dengan SNI (masalah XP, browser yang sangat lama). Tetapi di luar itu adakah yang harus saya ketahui?
Jebakan terkait - nginx saat menggunakan masalah - SNI / bug dengan peramban terbaru (penting!)
Jawaban:
Jika versi nginx Anda menunjukkan dukungan TLS SNI saat Anda melakukannya
nginx -V
maka Anda siap untuk menggunakannya.Jika Anda ingin menjalankan
server
tanpa memperhatikan alamat IP, maka jangan menggunakan alamat IP di web SSLserver
'slisten
arahan untuk menggunakan SNI untuk itu virtual host.Misalnya, ubah:
untuk:
Bahkan jika Anda memang menggunakan alamat IP, SNI akan tetap digunakan, untuk semua
server
yanglisten
menggunakan alamat IP yang sama.sumber
Sebenarnya, ini bukan perangkat lunak klien yang harus Anda khawatirkan. Sebagian besar orang menjalankan browser yang layak saat ini dan perangkat seluler pada dasarnya aman.
Ketika kami mencoba menjalankan nginx dengan SNI, kami menemukan bahwa beberapa penyedia layanan benar-benar tertinggal. Dalam satu kasus, penyedia pembayaran online tertentu hanya akan mengirim panggilan HTTP ke kami karena perangkat lunak mereka didasarkan pada perpustakaan Perl yang sangat lama (dukungan pra-SNI). Pengguna yang melihat kartu kredit mereka ditagih tanpa hasil tidak terhibur. Tanggapan penyedia layanan itu mengejutkan - mereka tidak tahu bahwa mereka memiliki masalah ini. Sayangnya, mereka mengatakan mereka perlu berbulan-bulan untuk memperbaikinya.
Saya berharap ini hanya satu penyedia, tetapi tidak. Kami akhirnya kembali ke IP yang terpisah untuk setiap domain.
Hal yang dipelajari: periksa semua perangkat lunak yang akan berbicara dengan nginx Anda.
sumber