К настоящему времени я еще не использовал SNI с nginx. Но поскольку пулы IP-адресов достаточно заполнены, а коммерческая поддержка XP скоро прекратится (наконец), я думаю о преобразовании нескольких сайтов в SNI.
Мне известны общие ограничения и подводные камни, которые могут возникнуть при использовании SNI (проблема с XP, очень старые браузеры). Но есть ли еще что-нибудь, о чем я должен знать?
Like - связанные с nginx подводные камни при использовании SNI - проблемы / ошибки с недавними (примечательными!) Браузерами
На самом деле вам стоит беспокоиться не о клиентском программном обеспечении. В настоящее время большинство людей используют приличный браузер, а мобильные устройства в основном безопасны.
Когда мы попытались запустить nginx с SNI, мы обнаружили, что некоторые поставщики услуг действительно отстают. В одном случае определенный провайдер онлайн-платежей просто откажется от HTTP-вызовов к нам, потому что их программное обеспечение было основано на действительно старой (до поддержки SNI) библиотеке Perl. Пользователи, видевшие, что с их кредитных карт безрезультатно списываются средства, не были удивлены. Ответ провайдера был неожиданным - они понятия не имели, что у них есть эта проблема. К сожалению, они сказали, что им потребовались месяцы, чтобы это исправить.
Хотелось бы, чтобы это был только один провайдер, но нет. В итоге мы вернулись к отдельным IP-адресам для каждого домена.
Извлеченный урок: проверьте все программное обеспечение, которое будет взаимодействовать с вашим nginx.
Если ваша версия nginx показывает поддержку TLS SNI, когда вы это делаете nginx -V тогда вы готовы к работе.
Если вы хотите запустить свой server независимо от IP-адреса, не используйте IP-адрес в сети SSL serverс listen директивы для использования SNI для этого виртуального хоста.
Например, измените:
listen 198.51.100.206:443 ssl;
кому:
listen 443 ssl;
Даже если вы используете IP-адрес, SNI все равно будет использоваться для всех servers которые listenна том же IP-адресе.