Somos um serviço multilocatário e encerramos nosso SSL em nossos balanceadores de carga (HAProxy + Apache para finalização de SSL), isso causou problemas crescentes devido aos requisitos de IP dedicado. Mas os tempos mudaram e estamos pensando em mudar para o SNI, então eu esperava opiniões fundamentadas para 2015 sobre adotá-lo como nosso padrão.
Vou delinear nossas suposições:
- SSL está morto (long live TLS) devido ao ataque POODLE,
- TLS tem SNI embutido
- IE6 / Windows XP (<sp3) estão mortos por vários motivos, entre os quais o XP se tornando EOL
- Terminamos o suporte para IE7 e essencialmente IE8 neste momento
Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?
... e ...
Existem cenários que devo considerar além desses que afetariam o suporte?
... e finalmente ...
Agora que o HAProxy 1.5 suporta terminação SSL diretamente, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?
Se você considerar os navegadores - sim.
Se você tiver que lidar com outros tipos de aplicativos - na verdade não:
Essencialmente, sim - embora você provavelmente encontre alguns usuários de casos extremos que reclamarão de falhas se o SNI for necessário. Se você tem a capacidade de dizer a essas pessoas "use um navegador desta década, por favor" para o seu serviço, então está pronto.
O suporte ao SO do navegador/cliente é o maior, embora eu possa imaginar alguns outros problemas divertidos com redes corporativas usando proxies de terminação SSL que não suportam a passagem da parte SNI do handshake TLS, o que também quebraria o SNI.
Não posso falar diretamente sobre as advertências com HAProxy - estamos usando sua terminação SSL, mas não SNI em cima dela.