usando nginx com SNI

Navegue suas respostas
10

Até agora eu não usei o SNI com o nginx ainda. Mas como os pools de endereços IP estão bastante cheios e o suporte para XP comercial está prestes a terminar (finalmente) estou pensando em converter alguns sites em SNI.

Estou ciente das limitações gerais e armadilhas que podem vir junto com o SNI (problema do XP, navegadores muito antigos). Mas além disso há algo que eu deveria estar ciente?

- armadilhas relacionadas ao nginx ao usar o SNI - problemas / bugs com navegadores recentes (notáveis!)

    
por justlovingIT 11.04.2014 / 14:22

2 respostas

9

Se a sua versão do nginx mostrar suporte a TLS SNI quando você fizer nginx -V , então você estará pronto para usar.

Se você deseja executar seu server sem considerar o endereço IP, não use um endereço IP nas diretivas server do SSL da weblisten para usar o SNI para esse host virtual.

Por exemplo, altere: 

listen 198.51.100.206:443 ssl;

para: 

listen 443 ssl;

Mesmo se você usar um endereço IP, o SNI será usado de qualquer maneira, para todos os server s que estão listen ing no mesmo endereço IP.

    
por 11.04.2014 / 18:45
11

Na verdade, não é um software cliente com o qual você deve se preocupar. A maioria das pessoas usa um navegador decente hoje em dia e os dispositivos móveis são basicamente seguros.

Quando tentamos executar o nginx com o SNI, descobrimos que alguns provedores de serviços estavam realmente ficando para trás. Em um caso, um determinado provedor de pagamentos on-line enviava apenas chamadas HTTP para nós porque o software deles era baseado em uma biblioteca Perl (suporte pré-SNI) realmente antiga. Os usuários que viram seus cartões de crédito serem cobrados sem resultado não se divertiram. A resposta do provedor foi surpresa - eles não tinham ideia de que tinham esse problema. Infelizmente, eles precisam de meses para consertar isso.

Eu gostaria que este fosse apenas um provedor, mas não. Acabamos voltando a separar IPs para cada domínio.

Lição aprendida: verifique todo o software que vai falar com o seu nginx.

    
por 11.04.2014 / 20:25

Tags

Como a Microsoft aplica licenças? Como faço para gerar uma lista de patches do Windows e a data em que eles foram instalados em um servidor do Windows 2000?