我们是一个多租户服务,并在我们的负载平衡器上终止我们的 SSL(用于 SSL 终止的 HAProxy + Apache),由于专用 IP 要求,这已经引起了越来越多的痛苦。但是时代变了,我们正在考虑迁移到 SNI,所以我希望 2015 年能获得有根据的意见,将其作为我们的标准。
我将概述我们的假设:
- 由于 POODLE 攻击,SSL 已失效(TLS 万岁),
- TLS 内置了 SNI
- IE6 / Windows XP ( < sp3) 已死的原因有很多,其中最重要的是 XP 即将 EOL
- 我们现在已经终止了对 IE7 和 IE8 的支持
我假设现在基本上全球支持 SNI 是否正确?
... 和 ...
除此之外,我是否应该考虑影响支持的情况?
……最后……
现在 HAProxy 1.5 直接支持 SSL 终止,在您的经验中是否有任何与 SNI 直接相关的警告会影响我们推出这项服务的能力?
如果您考虑浏览器 - 是的。
如果您必须处理其他类型的应用程序 - 不是真的:
本质上,是的——尽管如果需要 SNI,您可能会遇到一些边缘案例用户,他们会抱怨损坏。如果您有能力告诉这些人“请使用这十年的浏览器”为您的服务,那么您就可以了。
浏览器/客户端操作系统支持是最重要的,尽管我可以想象公司网络使用 SSL 终止代理的一些其他有趣的问题,这些代理不支持传递 TLS 握手的 SNI 部分,这也会破坏 SNI。
我不能直接谈论 HAProxy 的注意事项——我们正在使用它的 SSL 终止,但不是在它之上的 SNI。