sử dụng nginx với SNI

Đến bây giờ tôi chưa sử dụng SNI với nginx. Nhưng vì nhóm địa chỉ IP khá đầy và hỗ trợ XP thương mại sắp ngừng (cuối cùng) tôi đang nghĩ về việc chuyển đổi một vài trang web sang SNI.

Tôi nhận thức được những hạn chế và cạm bẫy chung có thể đi kèm với SNI (vấn đề XP, trình duyệt rất cũ). Nhưng ngoài đó có bất cứ điều gì tôi nên nhận thức?

Giống như - những cạm bẫy liên quan đến nginx khi sử dụng SNI - sự cố / lỗi với các trình duyệt gần đây (đáng chú ý!)

Nếu phiên bản nginx của bạn hiển thị hỗ trợ TLS SNI khi bạn làm nginx -Vthì bạn đã sẵn sàng.

Nếu bạn muốn chạy servermà không liên quan đến địa chỉ IP, thì đừng sử dụng địa chỉ IP trong các chỉ thị servercủa web SSL listenđể sử dụng SNI cho máy chủ ảo đó.

Chẳng hạn, thay đổi:

listen 198.51.100.206:443 ssl;

đến:

listen 443 ssl;

Ngay cả khi bạn sử dụng địa chỉ IP, SNI vẫn sẽ được sử dụng cho tất cả servercác listenđịa chỉ trên cùng một địa chỉ IP.

Trên thực tế, đó không phải là phần mềm máy khách mà bạn nên lo lắng. Hầu hết mọi người chạy một trình duyệt phong nha hiện nay và các thiết bị di động về cơ bản là an toàn.

Khi chúng tôi thử chạy nginx với SNI, chúng tôi đã phát hiện ra rằng một số nhà cung cấp dịch vụ thực sự bị tụt lại phía sau. Trong một trường hợp, một nhà cung cấp thanh toán trực tuyến nhất định sẽ bỏ các cuộc gọi HTTP về phía chúng tôi vì phần mềm của họ dựa trên thư viện Perl thực sự cũ (hỗ trợ trước SNI). Người dùng thấy thẻ tín dụng của họ bị tính phí mà không có kết quả là không thích thú. Phản ứng của nhà cung cấp rất ngạc nhiên - họ không biết họ có vấn đề gì. Đáng buồn thay, họ sai họ cần nhiều tháng để sửa lỗi này.

Tôi ước đây chỉ là một nhà cung cấp, nhưng không. Chúng tôi đã kết thúc việc quay lại IP riêng cho từng tên miền.

Bài học rút ra: kiểm tra tất cả các phần mềm sẽ nói chuyện với nginx của bạn.