usando nginx con SNI

10

Por ahora no he usado SNI con nginx todavía. Pero como los grupos de direcciones IP están bastante llenos y el soporte comercial de XP está a punto de cesar (finalmente), estoy pensando en convertir algunos sitios a SNI.

Soy consciente de las limitaciones y dificultades generales que pueden surgir con SNI (problema de XP, navegadores muy antiguos). Pero más allá de eso, ¿hay algo que deba tener en cuenta?

Me gusta: problemas relacionados con nginx al usar SNI: problemas / errores con navegadores recientes (¡notables!)

justlovingIT
fuente

Respuestas:

9

Si su versión de nginx muestra soporte TLS SNI cuando lo hace, nginx -Ventonces está listo para comenzar.

Si desea ejecutar su serversin tener en cuenta la dirección IP, a continuación, no utilice una dirección IP en la web SSL server's listendirectivas de usar SNI para ese host virtual.

Por ejemplo, cambie:

listen 198.51.100.206:443 ssl;

a:

listen 443 ssl;

Incluso si utiliza una dirección IP, SNI se utilizará de todos modos, para todos serverlos correos electrónicos que estén listenen la misma dirección IP.

Michael Hampton
fuente
11

En realidad, no debe preocuparse por el software de cliente. La mayoría de las personas ejecutan un navegador decente hoy en día y los dispositivos móviles son básicamente seguros.

Cuando intentamos ejecutar nginx con SNI, descubrimos que algunos proveedores de servicios realmente se estaban quedando atrás. En un caso, un determinado proveedor de pagos en línea simplemente soltaría las llamadas HTTP hacia nosotros porque su software se basaba en una biblioteca Perl realmente antigua (soporte anterior a SNI). Los usuarios que vieron que sus tarjetas de crédito fueron cargadas sin resultado no se divirtieron. La respuesta del proveedor fue sorpresa: no tenían idea de que tenían este problema. Lamentablemente, dijeron que necesitaban meses para arreglar esto.

Desearía que esto fuera solo un proveedor, pero no. Terminamos volviendo a IP separadas para cada dominio.

Lección aprendida: verifique todo el software que va a hablar con su nginx.

dtsomp
fuente