SNIでnginxを使用する
今のところ、私はまだnginxでSNIを使用していません。しかし、IPアドレスプールは非常にいっぱいで、商用のXPサポートは(ついに)終了します。)ため、いくつかのサイトをSNIに変換することを考えています。
SNIに伴う一般的な制限と落とし穴(XPの問題、非常に古いブラウザー)を知っています。しかし、それ以外に注意すべきことはありますか?
Like-SNI使用時のnginx関連の落とし穴-最近の(注目に値する!)ブラウザーでの問題/バグ
Nginxのバージョンがnginx -Vを実行したときにTLS SNIサポートを示している場合は、準備ができています。
IPアドレスに関係なくserverを実行する場合は、SSL Web serverのlistenディレクティブでIPアドレスを使用して、その仮想にSNIを使用しないでください。ホスト。
たとえば、次のように変更します。
listen 198.51.100.206:443 ssl;
に:
listen 443 ssl;
IPアドレスを使用する場合でも、同じIPアドレスでserveringしているすべてのlistensに対して、SNIがとにかく使用されます。
実際、心配する必要のあるクライアントソフトウェアではありません。今日、ほとんどの人々はまともなブラウザを実行しており、モバイルデバイスは基本的に安全です。
SNIでnginxを実行してみたところ、一部のサービスプロバイダーが実際に遅れを取っていることがわかりました。あるケースでは、特定のオンライン決済プロバイダーは、ソフトウェアが非常に古い(SNI以前のサポート)Perlライブラリに基づいていたため、HTTP呼び出しを私たちに向けてドロップするだけでした。クレジットカードに請求が表示され、結果が表示されないことを確認したユーザーは面白がっていませんでした。プロバイダーの反応は驚きでした-彼らにはこの問題があるという手がかりがありませんでした。悲しいことに、彼らはこれを修正するのに何ヶ月もかかると言っています。
これが1つのプロバイダーにすぎないことを願いますが、違います。最終的に、ドメインごとに個別のIPに戻りました。
教訓:nginxと通信するすべてのソフトウェアを確認してください。