используя nginx с SNI

К настоящему времени я еще не использовал SNI с nginx. Но поскольку пулы IP-адресов достаточно заполнены, и коммерческая поддержка XP скоро прекратится (наконец-то), я думаю о преобразовании нескольких сайтов в SNI.

Мне известны общие ограничения и подводные камни, которые могут возникнуть вместе с SNI (проблема XP, очень старые браузеры). Но помимо этого есть что-то, о чем я должен знать?

Подобные ошибки, связанные с nginx, при использовании SNI - проблемы / ошибки в недавних (заметных!) Браузерах

Если ваша версия nginx показывает поддержку TLS SNI, nginx -Vвы готовы к работе.

Если вы хотите запустить свой serverбез учета IP - адреса, то не использовать IP - адрес в сети SSL server«s listenдирективы использовать SNI для данного виртуального хоста.

Например, изменить:

listen 198.51.100.206:443 ssl;

чтобы:

listen 443 ssl;

Даже если вы используете IP-адрес, SNI все равно будет использоваться для всех, serverкто находится listenна одном IP-адресе.

На самом деле, это не клиентское программное обеспечение, о котором вы должны беспокоиться. В настоящее время большинство людей используют приличный браузер, а мобильные устройства в основном безопасны.

Когда мы попытались запустить nginx с SNI, мы обнаружили, что некоторые поставщики услуг действительно отстают. В одном случае определенный поставщик онлайн-платежей просто отбрасывал бы HTTP-запросы к нам, потому что их программное обеспечение было основано на очень старой (поддержка до SNI) библиотеке Perl. Пользователи, видя, что их кредитные карты списываются безрезультатно, не были удивлены. Ответ провайдера был неожиданным - они понятия не имели, у них была эта проблема. К сожалению, они сказали, что им понадобились месяцы, чтобы это исправить.

Я хотел бы, чтобы это был только один поставщик, но нет. В итоге мы вернулись к отдельным IP-адресам для каждого домена.

Извлеченный урок: проверьте все программы, которые будут общаться с вашим nginx.