Até agora eu não usei o SNI com o nginx ainda. Mas como os pools de endereços IP estão bastante cheios e o suporte comercial ao XP está prestes a cessar (finalmente), estou pensando em converter alguns sites em SNI.
Estou ciente das limitações e armadilhas gerais que podem surgir com o SNI (problema do XP, navegadores muito antigos). Mas além disso, há algo que eu deva estar ciente?
Armadilhas relacionadas ao nginx ao usar o SNI - problemas / bugs com navegadores recentes (notáveis!)
Respostas:
Se a sua versão do nginx mostrar suporte ao TLS SNI quando você o fizer
nginx -V, estará pronto para começar.Se você deseja executar o seu
serversem levar em conta o endereço IP, então não use um endereço IP na web SSLserver'slistendirectivas usar SNI para esse host virtual.Por exemplo, altere:
para:
Mesmo se você usar um endereço IP, o SNI será usado de qualquer maneira, para todos os
servers que estãolistenno mesmo endereço IP.fonte
Na verdade, não é com o software cliente que você deve se preocupar. Hoje em dia, a maioria das pessoas tem um navegador decente e os dispositivos móveis são basicamente seguros.
Quando tentamos executar o nginx com o SNI, descobrimos que alguns provedores de serviços estavam realmente ficando para trás. Em um caso, um determinado provedor de pagamentos on-line simplesmente enviava chamadas HTTP para nós porque seu software era baseado em uma biblioteca Perl realmente antiga (suporte pré-SNI). Os usuários que viram seus cartões de crédito sendo cobrados sem resultado não se divertiram. A resposta do fornecedor foi surpresa - eles não tinham idéia de que tinham esse problema. Infelizmente, eles precisam de meses para consertar isso.
Eu gostaria que este fosse apenas um provedor, mas não. Acabamos voltando a separar IPs para cada domínio.
Lição aprendida: verifique todos os softwares que irão falar com o seu nginx.
fonte