utiliser nginx avec SNI

10

À ce jour, je n'ai pas encore utilisé SNI avec nginx. Mais comme les pools d'adresses IP sont assez remplis et que le support commercial XP est sur le point de cesser (enfin), je pense à convertir quelques sites en SNI.

Je connais les limitations générales et les pièges qui pourraient accompagner SNI (problème XP, très vieux navigateurs). Mais au-delà de cela, y a-t-il quelque chose que je devrais être au courant?

Comme - pièges liés à nginx lors de l'utilisation de SNI - problèmes / bogues avec les navigateurs récents (notables!)

nginx  ssl  sni 
justlovingIT
source
2
Alexey Ten

Réponses:

9

Si votre version de nginx affiche la prise en charge TLS SNI lorsque vous le faites, nginx -Vvous êtes prêt à partir.

Si vous voulez exécuter votre serversans tenir compte de l'adresse IP, alors ne pas utiliser une adresse IP dans le Web SSL serverde listendirectives à utiliser pour cette SNI hôte virtuel.

Par exemple, changez:

listen 198.51.100.206:443 ssl;

à:

listen 443 ssl;

Même si vous utilisez une adresse IP, SNI sera utilisé de toute façon, pour tous les servers qui utilisent listenla même adresse IP.

Michael Hampton
source
11

En fait, ce n'est pas un logiciel client qui devrait vous inquiéter. La plupart des gens utilisent un navigateur décent de nos jours et les appareils mobiles sont fondamentalement sûrs.

Lorsque nous avons essayé d'exécuter nginx avec SNI, nous avons découvert que certains fournisseurs de services prenaient vraiment du retard. Dans un cas, un certain fournisseur de paiements en ligne laisserait simplement tomber les appels HTTP vers nous car leur logiciel était basé sur une très ancienne bibliothèque Perl (prise en charge pré-SNI). Les utilisateurs qui voient leurs cartes de crédit débiter sans résultat ne sont pas amusés. La réponse du fournisseur a été une surprise - ils n'avaient aucune idée qu'ils avaient ce problème. Malheureusement, ils ont dit qu'ils avaient besoin de mois pour résoudre ce problème.

Je souhaite que ce ne soit qu'un fournisseur, mais non. Nous avons fini par revenir à des adresses IP distinctes pour chaque domaine.

Leçon apprise: vérifiez tous les logiciels qui vont parler à votre nginx.

dtsomp
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.