Мы - многопользовательский сервис и завершаем наш SSL в наших подсистемах балансировки нагрузки (HAProxy + Apache для завершения SSL), это вызвало болезнь роста из-за специализированных требований IP. Но времена изменились, и мы рассматриваем перемещение в SNI, таким образом, я надеялся на образованные мнения на 2015 о принятии его как наш стандарт.
Я собираюсь обрисовать в общих чертах наши предположения:
Я корректен в предположении, что SNI по существу глобально поддерживается теперь?
... и...
Есть ли сценарии, что я должен полагать вне этого, что влиял бы на поддержку?
... и наконец...
Теперь, когда HAProxy 1.5 поддерживает Завершение SSL непосредственно, есть ли какие-либо протесты, по вашему опыту, непосредственно касающиеся SNI, который будет влиять на нашу способность развернуть этот сервис?
Правильно ли я предполагаю, что SNI теперь практически глобально поддерживается?
Если вы рассматриваете браузеры - да.
Если вам приходится иметь дело с другими видами приложений - не совсем:
Правильно ли я предполагаю, что SNI теперь практически глобально поддерживается?
По сути, да - хотя вы, вероятно, столкнетесь с некоторыми пользователями крайнего случая, которые будут жаловаться на неисправность, если требуется SNI . Если у вас есть возможность сказать этим людям «используйте браузер этого десятилетия, пожалуйста» для ваших услуг, тогда все готово.
Есть ли сценарии, которые я должен рассмотреть помимо этого, которые повлияют на поддержку?
Браузер / client OS - это самые большие проблемы, хотя я могу представить себе некоторые другие забавные проблемы с корпоративными сетями, использующими оконечные прокси-серверы SSL, которые не поддерживают передачу части SNI при рукопожатии TLS, что также нарушит SNI.
1.5 поддерживает SSL-завершение напрямую, есть ли в вашем опыте какие-либо предостережения, напрямую связанные с SNI, которые повлияют на нашу способность развертывать эту услугу?
Я не могу напрямую говорить об оговорках с HAProxy - мы используем его SSL-завершение, но а не SNI.