Eu tenho um projeto SaaS que precisa suportar domínios SSL personalizados. Eu olhei em SNI que parece perfeito. Se eu decidir (ou precisar) suportar o Windows XP. Que outras técnicas posso usar?
Sei que posso criar endereços IP virtuais, mas não acho que isso será bem dimensionado com nosso provedor de hospedagem atual (eles nos cobrarão por cada IP e terão que trabalhar para nosso firewall e balanceadores de carga).
Existem outras técnicas comuns? Eu olhei em proxies reversos (ou talvez algo como CloudFlare), mas não vi nada definitivo.
Estou usando o nginx que são proxies do Apache2 para execução do PHP.
As opções são:
A desvantagem do certificado SAN seria a necessidade de reemitir o certificado quando você adicionar novos nomes, o que não é propício para um ambiente de provedor de serviços em que você pode adicionar novos nomes frequentemente.
Você precisará usar grandes blocos de endereços IP e certificados SSL que suportem SAN (Subject Alternative Name, uma técnica SSL com suporte amplamente suportado para definir um grande número de domínios em um único certificado SSL).
Muitos provedores permitem até 100 domínios em cada um desses certificados. Então, supondo que você comece com um bloco de 16 IP, cada ip com um único certificado com 100 domínios, você poderá suportar 1600 domínios em tal configuração. Tome ou dê uns 100's para o bloco ip não ser utilizável para os 16 endereços IP completos.
Não há um método amplamente suportado pelo navegador para instalar mais de um certificado em um único endereço IP.
Esta lista permite filtrar por suporte a vários domínios: Comparação de certificados