SNI para balanceamento de carga de vários inquilinos em 2015

1

Somos um serviço multilocatário e terminamos nosso SSL em nossos balanceadores de carga (HAProxy + Apache para terminação SSL), isso causou dificuldades crescentes devido aos requisitos dedicados de IP. Mas os tempos mudaram e estamos pensando em mudar para o SNI, então eu estava esperando opiniões educadas para 2015 sobre adotá-lo como nosso padrão.

Vou descrever nossas suposições:

  • SSL está inativo (TLS de longa duração) devido ao ataque POODLE,
  • O TLS tem SNI embutido
  • O IE6 / Windows XP (< sp3) está inativo por vários motivos, sendo que o XP não é o menos adequado para o EOL
  • Terminamos o suporte para o IE7 e, essencialmente, para o IE8 neste ponto

Estou correto em assumir que o SNI é essencialmente suportado globalmente agora?

... e ...

Existem cenários que devo considerar além disso que afetariam o suporte?

... e finalmente ...

Agora que o HAProxy 1.5 suporta a Rescisão de SSL diretamente, há alguma limitação em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?

    
por oucil 27.02.2015 / 19:42

2 respostas

2

Am I correct in assuming that SNI is essentially globally supported now?

Se você considerar navegadores - sim.

Se você tiver que lidar com outros tipos de aplicativos - não realmente:

  • O Python 3 tem suporte, mas o Python 2.7. obteve apenas suporte com a versão recém-lançada 2.7.9
  • O Android tem suporte limitado. O HTTPUrlConnection tinha suporte por um longo tempo, mas o SDK continha uma versão antiga do Apache HTTPClient para as coisas mais avançadas e essa versão não suportava o SNI. Não sei se a situação mudou com o SDK mais recente.
  • Java tem suporte apenas com o JDK 1.7
  • Ainda existem alguns rastreadores para mecanismos de pesquisa que não suportam SNI. De acordo com o link contido em 05/2014 Bing, Yahoo, Baidu e outros.
por 27.02.2015 / 21:58
1

Am I correct in assuming that SNI is essentially globally supported now?

Essencialmente, sim - embora você provavelmente vá se deparar com alguns usuários que se queixam do quebrantamento se o SNI for necessário. Se você tem a capacidade de dizer a essas pessoas "use um navegador a partir desta década, por favor" para o seu serviço, então você está definido.

Are there scenarios that I should consider beyond this that would affect support?

O suporte do sistema operacional cliente / navegador é grande, embora eu possa imaginar alguns outros problemas divertidos com redes corporativas usando proxies de terminação SSL que não suportam passar a parte SNI do handshake TLS, que também quebraria o SNI.

Now that HAProxy 1.5 supports SSL Termination directly, are there any caveats in your experience directly relating to SNI that will affect our ability to roll out this service?

Eu não posso falar diretamente sobre as limitações do HAProxy - estamos usando sua terminação SSL, mas não o SNI.

    
por 27.02.2015 / 20:01