SNI для много выравнивания нагрузки арендатора в 2015
Мы - многопользовательский сервис и завершаем наш SSL в наших подсистемах балансировки нагрузки (HAProxy + Apache для завершения SSL), это вызвало болезнь роста из-за специализированных требований IP. Но времена изменились, и мы рассматриваем перемещение в SNI, таким образом, я надеялся на образованные мнения на 2015 о принятии его как наш стандарт.
Я собираюсь обрисовать в общих чертах наши предположения:
- SSL мертв (да здравствует TLS) из-за нападения ПУДЕЛЯ,
- TLS имеет встроенный SNI
- IE6 / Windows XP (<sp3) мертв по многим причинам, не, наименьшим количеством которого является XP, идущий EOL
- Мы завершили поддержку IE7 и по существу IE8 в этой точке
Я корректен в предположении, что SNI по существу глобально поддерживается теперь?
... и...
Есть ли сценарии, что я должен полагать вне этого, что влиял бы на поддержку?
... и наконец...
Теперь, когда HAProxy 1.5 поддерживает Завершение SSL непосредственно, есть ли какие-либо протесты, по вашему опыту, непосредственно касающиеся SNI, который будет влиять на нашу способность развернуть этот сервис?
Правильно ли я предполагаю, что SNI теперь практически глобально поддерживается?
Если вы рассматриваете браузеры - да.
Если вам приходится иметь дело с другими видами приложений - не совсем:
- Python 3 имеет поддержку, но Python 2.7. получил поддержку только в только что выпущенной версии 2.7.9
- Android имеет ограниченную поддержку. HTTPUrlConnection поддерживался долгое время, но SDK содержал старую версию Apache HTTPClient для более продвинутых функций, и эта версия не поддерживала SNI. Я не знаю, изменилась ли ситуация с последним SDK.
- Java получила поддержку только с JDK 1.7
- Есть еще некоторые сканеры для поисковых систем, которые не поддерживают SNI. Согласно https://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniing , это содержится в 05/2014 Bing, Yahoo, Baidu и других.
Правильно ли я предполагаю, что SNI теперь практически глобально поддерживается?
По сути, да - хотя вы, вероятно, столкнетесь с некоторыми пользователями крайнего случая, которые будут жаловаться на неисправность, если требуется SNI . Если у вас есть возможность сказать этим людям «используйте браузер этого десятилетия, пожалуйста» для ваших услуг, тогда все готово.
Есть ли сценарии, которые я должен рассмотреть помимо этого, которые повлияют на поддержку?
Браузер / client OS - это самые большие проблемы, хотя я могу представить себе некоторые другие забавные проблемы с корпоративными сетями, использующими оконечные прокси-серверы SSL, которые не поддерживают передачу части SNI при рукопожатии TLS, что также нарушит SNI.
1.5 поддерживает SSL-завершение напрямую, есть ли в вашем опыте какие-либо предостережения, напрямую связанные с SNI, которые повлияют на нашу способность развертывать эту услугу?
Я не могу напрямую говорить об оговорках с HAProxy - мы используем его SSL-завершение, но а не SNI.