在SNI中使用nginx

Question

到目前为止，我还没有在nginx中使用SNI。但是，随着IP地址池的大量填充，以及商业XP支持即将停止(最后)，我正在考虑将一些站点转换为SNI。

我意识到SNI (XP问题，非常旧的浏览器)可能带来的一般限制和缺陷。但除此之外，还有什么我应该知道的吗？

类似- nginx相关的陷阱时使用SNI -问题/错误与最近(值得注意！)浏览器

Answer 1

如果您的nginx版本在执行nginx -V时显示了TLS支持，那么就可以开始了。

如果您想运行您的server而不考虑IP地址，那么就不要在SSL web server的S listen指令中使用IP地址来使用SNI来实现该虚拟主机。

例如，更改：

listen 198.51.100.206:443 ssl;

至：

listen 443 ssl;

即使你确实使用一个IP地址，SNI无论如何也会被使用，因为所有的servers都在同一个IP地址上使用listen。

Answer 2

实际上，你应该担心的不是客户端软件。如今，大多数人使用的浏览器都很不错，移动设备基本上是安全的。

当我们尝试使用SNI运行nginx时，我们发现一些服务提供商确实落后了。在一种情况下，某个在线支付提供商会直接放弃对我们的HTTP调用，因为他们的软件是基于一个非常老的Perl库(支持SNI之前)。用户看到他们的信用卡被指控没有结果是不好笑的。供应商的反应令人惊讶--他们根本不知道自己有这个问题。可悲的是，他们说他们需要几个月才能解决这个问题。

我希望这只是一个提供者，但不是。最后，我们返回到针对每个域的独立IP。

经验教训:检查所有要与您的nginx对话的软件。