O que acontece quando um navegador não suporta SNI?

Navegue suas respostas
6

Uma pergunta aparentemente simples, mas válida mesmo assim.

O que acontece exatamente quando um navegador que não suporta SNI tenta visitar um site configurado para forçar o SSL via SNI.

Obrigado

    
por PUncle 04.07.2013 / 14:24

4 respostas

1

Isso depende de como o servidor da web reage quando recebe uma solicitação HTTPS sem o SNI. (Se você quiser testá-lo, você pode simular um navegador que não seja o SNI com o openssl . O conhecimento básico do protocolo HTTP é necessário.)

Com o IIS 10, acontece o seguinte:

  • Se houver um "site SSL padrão" (um site vinculado à porta 443 sem um nome de host) configurado, o cliente não-SNI verá:

    • o certificado do site SSL (incorreto) padrão (geralmente resultando em um aviso de certificado, a menos que você tenha configurado o certificado de site SSL padrão para incluir SANs todos os sites hospedados no seu endereço IP) e
    • o conteúdo do site solicitado (correto) (depois que o usuário dispensou o aviso de certificado).

    Isso faz todo o sentido:

    1. O handshake SSL acontece antes que a solicitação HTTP possa ser transmitida. Assim, sem o suporte a SNI do navegador, o servidor não tem outra opção a não ser retornar o certificado de site SSL padrão.
    2. Após a conexão SSL ser estabelecida (usando o certificado "errado"), o servidor recebe a solicitação HTTP, lê o nome do host solicitado por meio do cabeçalho Host: e retorna o conteúdo correto.

  • Se não houver um "site SSL padrão" configurado, a conexão será encerrada.

(Fonte: apenas testei com uma máquina virtual antiga do Windows XP IE8.)

    
por 14.09.2017 / 17:00
1

Provavelmente, ele se conectará ao host virtual SSL padrão. Em outras palavras, o mesmo site que você veria se você se conectasse usando o IP: https://1.2.3.4/

    
por 04.07.2013 / 14:35
1

Não será possível carregar o site, com certeza. É por isso que nenhum site grande passará para sites HTTPS hospedados por SNI tão cedo. IE6 e IE7 no XP parecem ser os maiores navegadores antigos que não suportam SNI.

Se você conseguir acessar os navegadores que não sejam compatíveis com SNI, poderá ver o que acontece acessando o link

Também parece importar qual software de servidor você está usando. Com o Apache, navegadores sem suporte a SNI irão apenas obter o primeiro website configurado (e provavelmente um aviso de incompatibilidade de nome de host).

    
por 05.03.2015 / 11:05
0

Acabei de testá-lo usando o IE 4.0 em execução no Windows NT 4 Workstation. Meu site, hospedado no link , carrega perfeitamente. Não tenho certeza se a hospedagem deles atende aos critérios acima, mas a página "Limiações" sugere que esse é o caso. Estou um pouco surpreso com a página carregada.

    
por 14.09.2017 / 20:50

Tags

Os drives SAS de 6Gb / s são compatíveis com interfaces SAS 3Gb / s? Expondo o servidor IMAP à Internet: DMZ ou Port Forwarding?