web-dev-qa-db-ja.com

SNIでnginxを使用する

今のところ、私はまだnginxでSNIを使用していません。しかし、IPアドレスプールは非常にいっぱいで、商用のXPサポートは(ついに)終了します。)ため、いくつかのサイトをSNIに変換することを考えています。

SNIに伴う一般的な制限と落とし穴(XPの問題、非常に古いブラウザー)を知っています。しかし、それ以外に注意すべきことはありますか?

Like-SNI使用時のnginx関連の落とし穴-最近の(注目に値する!)ブラウザーでの問題/バグ

10
justlovingIT

Nginxのバージョンがnginx -Vを実行したときにTLS SNIサポートを示している場合は、準備ができています。

IPアドレスに関係なくserverを実行する場合は、SSL Web serverlistenディレクティブでIPアドレスを使用して、その仮想にSNIを使用しないでください。ホスト。

たとえば、次のように変更します。

listen 198.51.100.206:443 ssl;

に:

listen 443 ssl;

IPアドレスを使用する場合でも、同じIPアドレスでserveringしているすべてのlistensに対して、SNIがとにかく使用されます。

9
Michael Hampton

実際、心配する必要のあるクライアントソフトウェアではありません。今日、ほとんどの人々はまともなブラウザを実行しており、モバイルデバイスは基本的に安全です。

SNIでnginxを実行してみたところ、一部のサービスプロバイダーが実際に遅れを取っていることがわかりました。あるケースでは、特定のオンライン決済プロバイダーは、ソフトウェアが非常に古い(SNI以前のサポート)Perlライブラリに基づいていたため、HTTP呼び出しを私たちに向けてドロップするだけでした。クレジットカードに請求が表示され、結果が表示されないことを確認したユーザーは面白がっていませんでした。プロバイダーの反応は驚きでした-彼らにはこの問題があるという手がかりがありませんでした。悲しいことに、彼らはこれを修正するのに何ヶ月もかかると言っています。

これが1つのプロバイダーにすぎないことを願いますが、違います。最終的に、ドメインごとに個別のIPに戻りました。

教訓:nginxと通信するすべてのソフトウェアを確認してください。

11
dtsomp