У меня есть проект SaaS, который должен поддерживать пользовательские домены SSL. Я заглянул в SNI который выглядит идеально. Если я решу (или буду нуждаться) в поддержке Windows XP. Какие еще техники я могу использовать?
Я знаю, что могу создавать виртуальные IP-адреса, но не думаю, что это будет хорошо масштабироваться с нашим текущим хостинг-провайдером (они будут взимать с нас плату за каждый IP-адрес, и они должны выполнять работу для нашего брандмауэра и балансировщиков нагрузки).
Есть ли другие распространенные техники? Я просмотрел обратные прокси (или, может быть, что-то вроде CloudFlare), но не нашел ничего окончательного.
Я использую nginx, который прокси к Apache2 для выполнения PHP.
Варианты:
Недостатком сертификата SAN будет то, что вам придется повторно выдавать сертификат при добавлении новых имен, что действительно не способствует среде поставщика услуг, где вы потенциально часто добавляете новые имена.
Вам нужно будет использовать как большие блоки IP-адресов, так и SSL-сертификаты, поддерживающие SAN (альтернативное имя субъекта, широко поддерживаемый метод SSL для установки большого количества доменов на одном сертификате SSL).
Многие провайдеры позволяют использовать до 100 доменов на каждом таком сертификате. Итак, предполагая, что вы начнете с блока из 16 IP-адресов, каждый IP-адрес с одним сертификатом и 100 доменами на нем, вы сможете поддерживать 1600 доменов при такой настройке. Возьмите или дайте несколько сотен, если блок ip не может использоваться для полных 16 IP-адресов.
Не существует широко поддерживаемого браузером метода установки более одного сертификата на один IP-адрес.
Этот список позволяет фильтровать по поддержке нескольких доменов: Сравнение сертификатов