À ce jour, je n'ai pas encore utilisé SNI avec nginx. Mais comme les pools d'adresses IP sont assez remplis et que le support commercial XP est sur le point de cesser (enfin), je pense à convertir quelques sites en SNI.
Je connais les limitations générales et les pièges qui pourraient accompagner SNI (problème XP, très vieux navigateurs). Mais au-delà de cela, y a-t-il quelque chose que je devrais être au courant?
Comme - pièges liés à nginx lors de l'utilisation de SNI - problèmes / bogues avec les navigateurs récents (notables!)
Réponses:
Si votre version de nginx affiche la prise en charge TLS SNI lorsque vous le faites,
nginx -V
vous êtes prêt à partir.Si vous voulez exécuter votre
server
sans tenir compte de l'adresse IP, alors ne pas utiliser une adresse IP dans le Web SSLserver
delisten
directives à utiliser pour cette SNI hôte virtuel.Par exemple, changez:
à:
Même si vous utilisez une adresse IP, SNI sera utilisé de toute façon, pour tous les
server
s qui utilisentlisten
la même adresse IP.la source
En fait, ce n'est pas un logiciel client qui devrait vous inquiéter. La plupart des gens utilisent un navigateur décent de nos jours et les appareils mobiles sont fondamentalement sûrs.
Lorsque nous avons essayé d'exécuter nginx avec SNI, nous avons découvert que certains fournisseurs de services prenaient vraiment du retard. Dans un cas, un certain fournisseur de paiements en ligne laisserait simplement tomber les appels HTTP vers nous car leur logiciel était basé sur une très ancienne bibliothèque Perl (prise en charge pré-SNI). Les utilisateurs qui voient leurs cartes de crédit débiter sans résultat ne sont pas amusés. La réponse du fournisseur a été une surprise - ils n'avaient aucune idée qu'ils avaient ce problème. Malheureusement, ils ont dit qu'ils avaient besoin de mois pour résoudre ce problème.
Je souhaite que ce ne soit qu'un fournisseur, mais non. Nous avons fini par revenir à des adresses IP distinctes pour chaque domaine.
Leçon apprise: vérifiez tous les logiciels qui vont parler à votre nginx.
la source