今のところ、私はまだnginxでSNIを使用していません。しかし、IPアドレスプールがかなりいっぱいになり、商用XPのサポートが(ついに)終了するので、いくつかのサイトをSNIに変換することを考えています。
SNIに伴う一般的な制限と落とし穴(XPの問題、非常に古いブラウザー)を知っています。しかし、それ以外に注意すべきことはありますか?
Like-SNI使用時のnginx関連の落とし穴-最近の(注目に値する!)ブラウザーでの問題/バグ
回答:
お使いのバージョンのnginxがTLS SNIサポートを示しnginx -Vている場合は、準備ができています。
serverIPアドレスに関係なくを実行したい場合は、SSL Web serverのlistenディレクティブでIPアドレスを使用して、その仮想ホストにSNIを使用しないでください。
たとえば、次のように変更します。
listen 198.51.100.206:443 ssl;
に:
listen 443 ssl;
IPアドレスを使用する場合でも、SNIはとにかく、同じIPアドレス上にserverあるすべてのに使用されlistenます。
実際、心配する必要のあるクライアントソフトウェアではありません。今日、ほとんどの人はまともなブラウザを実行しており、モバイルデバイスは基本的に安全です。
SNIでnginxを実行してみたところ、一部のサービスプロバイダーが実際に遅れを取っていることがわかりました。あるケースでは、特定のオンライン決済プロバイダーは、ソフトウェアが非常に古い(SNI以前のサポート)Perlライブラリに基づいていたため、HTTP呼び出しを私たちに向けてドロップするだけでした。クレジットカードに請求が表示され、結果が表示されないことを確認したユーザーは面白がっていませんでした。プロバイダーの反応は驚きでした-彼らにはこの問題があるという手がかりがありませんでした。悲しいことに、彼らはこれを修正するのに何ヶ月もかかると言っています。
これが1つのプロバイダーであるといいのですが、違います。最終的に、ドメインごとに個別のIPに戻りました。
教訓:nginxと通信するすべてのソフトウェアを確認してください。