menggunakan nginx dengan SNI

Sampai sekarang saya belum menggunakan SNI dengan nginx. Tetapi karena kumpulan alamat IP cukup diisi dan dukungan XP komersial akan berhenti (akhirnya) saya sedang berpikir untuk mengubah beberapa situs menjadi SNI.

Saya menyadari keterbatasan umum dan jebakan yang mungkin datang bersama dengan SNI (masalah XP, browser yang sangat lama). Tetapi di luar itu adakah yang harus saya ketahui?

Jebakan terkait - nginx saat menggunakan masalah - SNI / bug dengan peramban terbaru (penting!)

Jika versi nginx Anda menunjukkan dukungan TLS SNI saat Anda melakukannya nginx -Vmaka Anda siap untuk menggunakannya.

Jika Anda ingin menjalankan servertanpa memperhatikan alamat IP, maka jangan menggunakan alamat IP di web SSL server's listenarahan untuk menggunakan SNI untuk itu virtual host.

Misalnya, ubah:

listen 198.51.100.206:443 ssl;

untuk:

listen 443 ssl;

Bahkan jika Anda memang menggunakan alamat IP, SNI akan tetap digunakan, untuk semua serveryang listenmenggunakan alamat IP yang sama.

Sebenarnya, ini bukan perangkat lunak klien yang harus Anda khawatirkan. Sebagian besar orang menjalankan browser yang layak saat ini dan perangkat seluler pada dasarnya aman.

Ketika kami mencoba menjalankan nginx dengan SNI, kami menemukan bahwa beberapa penyedia layanan benar-benar tertinggal. Dalam satu kasus, penyedia pembayaran online tertentu hanya akan mengirim panggilan HTTP ke kami karena perangkat lunak mereka didasarkan pada perpustakaan Perl yang sangat lama (dukungan pra-SNI). Pengguna yang melihat kartu kredit mereka ditagih tanpa hasil tidak terhibur. Tanggapan penyedia layanan itu mengejutkan - mereka tidak tahu bahwa mereka memiliki masalah ini. Sayangnya, mereka mengatakan mereka perlu berbulan-bulan untuk memperbaikinya.

Saya berharap ini hanya satu penyedia, tetapi tidak. Kami akhirnya kembali ke IP yang terpisah untuk setiap domain.

Hal yang dipelajari: periksa semua perangkat lunak yang akan berbicara dengan nginx Anda.