fragen stichworte

Nginx, mehrere Domänen, SSL-Unterstützung für Clients ohne SNI

Ich möchte SSL für Clients unterstützen, die keine SNI-Unterstützung haben (IE/FF/Safari unter Windows XP, Android 2.2 und andere).

Die Lösung, die ich ausgewählt habe, bestand darin, dass Nginx für jedes Zertifikat einen separaten Port überwacht.

Die Frage ist: Gibt es einen anderen Weg, um das Problem zu lösen, oder habe ich alles richtig gemacht?

antworten

Dies ist ein Weg, um es zu lösen, aber wenn es ein guter Weg ist, kann man darüber diskutieren. Viele eingeschränkte Netzwerke können nur auf Port 80 und 443 zugreifen, sodass diese Benutzer Ihre Inhalte nicht erreichen können.

Der Lösungsweg wäre, mehrere IP-Adressen und jeweils ein Zertifikat zu haben.

Eine andere Lösung wäre die Verwendung des UCC-SSL-Zertifikats. Ich weiß nicht, wie viele Domains Sie sichern möchten, und ob Sie häufig Änderungen daran vornehmen.

Das ist grundsätzlich richtig, wenn Sie auf eine IP-Adresse beschränkt sind.

Wenn Sie mehrere IP-Adressen verwenden können, ist es besser, an den Standard-HTTPS-Port jeder IP-Adresse zu binden. In diesem Fall wird die Adressleiste des Browsers für einen durchschnittlichen Benutzer weniger seltsam aussehen, wenn dies ein Problem darstellt.