Ssl

2015 年用於多租戶負載均衡的 SNI

  • February 27, 2015

我們是一個多租戶服務,並在我們的負載平衡器上終止我們的 SSL(用於 SSL 終止的 HAProxy + Apache),由於專用 IP 要求,這已經引起了越來越多的痛苦。但是時代變了,我們正在考慮遷移到 SNI,所以我希望 2015 年能獲得有根據的意見,將其作為我們的標準。

我將概述我們的假設:

  • 由於 POODLE 攻擊,SSL 已失效(TLS 萬歲),
  • TLS 內置了 SNI
  • IE6 / Windows XP ( < sp3) 已死的原因有很多,其中最重要的是 XP 即將 EOL
  • 我們現在已經終止了對 IE7 和 IE8 的支持

我假設現在基本上全球支持 SNI 是否正確?

… 和 …

除此之外,我是否應該考慮影響支持的情況?

……最後……

既然 HAProxy 1.5 直接支持 SSL 終止,那麼您在體驗中是否有任何與 SNI 直接相關的警告會影響我們推出這項服務的能力?

我假設現在基本上全球支持 SNI 是否正確?

如果您考慮瀏覽器 - 是的。

如果您必須處理其他類型的應用程序 - 不是真的:

  • Python 3 有支持,但 Python 2.7。僅支持剛剛發布的 2.7.9 版
  • Android 的支持有限。HTTPUrlConnection 支持很長時間了,但是 SDK 包含一個舊版本的 Apache HTTPClient 用於更高級的東西,這個版本不支持 SNI。我不知道最新的 SDK 是否改變了這種情況。
  • Java 僅在 JDK 1.7 中獲得支持
  • 仍然有一些搜尋引擎爬蟲不支持 SNI。根據https://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniing這包含在 05/2014 Bing、Yahoo、Baidu 等。

引用自:https://serverfault.com/questions/671962