використовуючи nginx з SNI

На сьогодні я ще не використовував SNI з nginx. Але оскільки пули IP-адрес досить заповнені, і комерційна підтримка XP скоро припиниться (нарешті), я думаю про перетворення декількох сайтів у SNI.

Мені відомо про загальні обмеження та підводні камені, які можуть бути разом із SNI (випуск XP, дуже старі браузери). Але крім цього є щось, що я маю знати?

Як і - підводні камені, пов'язані з nginx при використанні SNI - проблеми / помилки з останніми (помітними!) Браузерами

Якщо ваша версія nginx показує підтримку TLS SNI, коли ви це зробите, nginx -Vтоді ви готові працювати.

Якщо ви хочете запустити свій serverбез урахування IP - адреси, то не використовувати IP - адреса в мережі SSL server«s listenдирективи використовувати SNI для даного віртуального хоста.

Наприклад, зміни:

listen 198.51.100.206:443 ssl;

до:

listen 443 ssl;

Навіть якщо ви використовуєте IP-адресу, SNI буде використовуватись у будь-якому випадку для всіх server, хто працює listenна одній і тій же IP-адресі.

Насправді, це не клієнтське програмне забезпечення, про яке ви повинні турбуватися. У наш час більшість людей працюють гідним браузером, а мобільні пристрої в основному безпечні.

Коли ми спробували запустити nginx за допомогою SNI, ми виявили, що деякі постачальники послуг насправді відстають. В одному випадку певний Інтернет-провайдер платіжів просто відмовиться від HTTP-дзвінків до нас, оскільки їх програмне забезпечення базувалося на справді старій бібліотеці Perl (до підтримки SNI). Користувачі, які бачили, що їхні кредитні картки не стягуються без жодного результату, не раділи. Відповідь постачальника була несподіваною - вони не мали поняття, що вони мають цю проблему. На жаль, вони кажуть, що їм потрібно було місяці, щоб виправити це.

Я б хотів, щоб це був лише один провайдер, але ні. Ми повернулися до окремих IP-адрес для кожного домену.

Урок: вивчіть усе програмне забезпечення, яке збирається поговорити з вашим nginx.