ใช้ nginx กับ SNI


10

ตอนนี้ฉันยังไม่ได้ใช้ SNI กับ nginx เลย แต่เนื่องจากกลุ่มที่อยู่ IP ค่อนข้างเต็มและการสนับสนุน XP เชิงพาณิชย์กำลังจะหยุด (ในที่สุด) ฉันกำลังคิดที่จะแปลงบางไซต์เป็น SNI

ฉันตระหนักถึงข้อ จำกัด และข้อผิดพลาดทั่วไปที่อาจมาพร้อมกับ SNI (ปัญหา XP, เบราว์เซอร์ที่เก่ามาก) แต่นอกเหนือจากนั้นมีอะไรที่ฉันควรระวัง?

Like - ข้อผิดพลาดที่เกี่ยวข้องกับ nginx เมื่อใช้ SNI - ประเด็น / ข้อบกพร่องกับเบราว์เซอร์ (เด่น!) ล่าสุด


คำตอบ:


9

หากเวอร์ชัน nginx ของคุณแสดงการสนับสนุน TLS SNI เมื่อคุณทำnginx -Vคุณก็พร้อมที่จะไป

หากคุณต้องการเรียกใช้serverโดยไม่คำนึงถึงที่อยู่ IP อย่าใช้ที่อยู่ IP ในคำสั่งserverของเว็บ SSL listenเพื่อใช้ SNI สำหรับโฮสต์เสมือนนั้น

ตัวอย่างเช่นการเปลี่ยนแปลง:

listen 198.51.100.206:443 ssl;

ถึง:

listen 443 ssl;

แม้ว่าคุณจะใช้ที่อยู่ IP แต่ SNI จะถูกนำไปใช้สำหรับทุกคนserverที่ใช้ที่อยู่listenIP เดียวกัน


11

ที่จริงแล้วไม่ใช่ซอฟต์แวร์ไคลเอ็นต์ที่คุณควรกังวล ทุกวันนี้คนส่วนใหญ่ใช้เบราว์เซอร์ที่เหมาะสมและอุปกรณ์มือถือก็ปลอดภัย

เมื่อเราลองใช้ nginx กับ SNI เราค้นพบว่าผู้ให้บริการบางรายกำลังล้มเหลวจริงๆ ในกรณีหนึ่งผู้ให้บริการชำระเงินออนไลน์บางรายจะวางสาย HTTP เข้าหาเราเนื่องจากซอฟต์แวร์ของพวกเขาใช้ไลบรารี Perl เก่า (สนับสนุนล่วงหน้า SNI) จริงๆ ผู้ใช้ที่เห็นบัตรเครดิตของพวกเขาถูกเรียกเก็บเงินโดยไม่มีผลลัพธ์จะไม่ถูกขบขัน การตอบสนองของผู้ให้บริการรู้สึกประหลาดใจ - พวกเขาไม่รู้ว่าพวกเขามีปัญหานี้ น่าเศร้าพวกเขาต้องใช้เวลาหลายเดือนในการแก้ไขปัญหานี้

ฉันหวังว่านี่เป็นเพียงผู้ให้บริการ แต่ไม่มี เรากลับไปที่การแยก IP สำหรับแต่ละโดเมน

เรียนรู้บทเรียน: ตรวจสอบซอฟต์แวร์ทั้งหมดที่จะคุยกับ nginx ของคุณ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.