fragen stichworte

Verwendung von Nginx mit SNI

Ich habe SNI noch nicht mit nginx verwendet. Da die IP-Adresspools jedoch ziemlich gefüllt sind und der kommerzielle XP-Support (endgültig) eingestellt wird, denke ich darüber nach, einige Sites in SNI umzuwandeln.

Ich kenne die allgemeinen Einschränkungen und Fallstricke, die mit SNI (XP-Problem, sehr alte Browser) verbunden sein können. Aber darüber hinaus gibt es etwas, dessen ich mir bewusst sein sollte?

Wie - Nginx-bezogene Fallstricke bei der Verwendung von SNI - Probleme/Fehler mit aktuellen (bemerkenswerten!) Browsern

antworten

Eigentlich ist es keine Client-Software, über die Sie sich Sorgen machen sollten. Die meisten Leute betreiben heutzutage einen vernünftigen Browser und mobile Geräte sind grundsätzlich sicher.

Als wir versuchten, nginx mit SNI laufen zu lassen, stellten wir fest, dass einige Service Provider wirklich in Verzug waren. In einem Fall würde ein bestimmter Online-Zahlungsanbieter HTTP-Aufrufe an uns absetzen, da seine Software auf einer wirklich alten Perl-Bibliothek (vor der SNI-Unterstützung) basierte. Benutzer, die ihre Kreditkarten ohne Ergebnis aufgeladen sehen, waren nicht amüsiert. Die Antwort des Anbieters war überraschend - sie hatten keine Ahnung, dass sie dieses Problem hatten. Leider brauchten sie Monate, um das zu beheben.

Ich wünschte, das wäre nur ein Anbieter, aber nein. Am Ende gingen wir zurück zu separaten IPs für jede Domain.

Lektion gelernt: Überprüfen Sie alle Software, die mit Ihrem nginx sprechen wird.

Wenn Ihre Version von nginx TLS SNI-Unterstützung zeigt, wenn Sie nginx -V ausführen, können Sie loslegen.

Wenn Sie Ihr server ohne Rücksicht auf die IP-Adresse ausführen möchten, verwenden Sie in den server -Anweisungen von SSL-Web keine IP-Adresse, um SNI für diesen virtuellen Host zu verwenden.

Ändern Sie beispielsweise:

listen 198.51.100.206:443 ssl;

bis:

listen 443 ssl;

Auch wenn Sie eine IP-Adresse verwenden, wird SNI trotzdem für alle server verwendet, die sich auf derselben IP-Adresse befinden.