Ssl
2015 年用於多租戶負載均衡的 SNI
我們是一個多租戶服務,並在我們的負載平衡器上終止我們的 SSL(用於 SSL 終止的 HAProxy + Apache),由於專用 IP 要求,這已經引起了越來越多的痛苦。但是時代變了,我們正在考慮遷移到 SNI,所以我希望 2015 年能獲得有根據的意見,將其作為我們的標準。
我將概述我們的假設:
- 由於 POODLE 攻擊,SSL 已失效(TLS 萬歲),
- TLS 內置了 SNI
- IE6 / Windows XP ( < sp3) 已死的原因有很多,其中最重要的是 XP 即將 EOL
- 我們現在已經終止了對 IE7 和 IE8 的支持
我假設現在基本上全球支持 SNI 是否正確?
… 和 …
除此之外,我是否應該考慮影響支持的情況?
……最後……
既然 HAProxy 1.5 直接支持 SSL 終止,那麼您在體驗中是否有任何與 SNI 直接相關的警告會影響我們推出這項服務的能力?
我假設現在基本上全球支持 SNI 是否正確?
如果您考慮瀏覽器 - 是的。
如果您必須處理其他類型的應用程序 - 不是真的:
- Python 3 有支持,但 Python 2.7。僅支持剛剛發布的 2.7.9 版
- Android 的支持有限。HTTPUrlConnection 支持很長時間了,但是 SDK 包含一個舊版本的 Apache HTTPClient 用於更高級的東西,這個版本不支持 SNI。我不知道最新的 SDK 是否改變了這種情況。
- Java 僅在 JDK 1.7 中獲得支持
- 仍然有一些搜尋引擎爬蟲不支持 SNI。根據https://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniing這包含在 05/2014 Bing、Yahoo、Baidu 等。