Wir sind ein Multi-Tenant-Dienst und beenden unser SSL bei unseren Load Balancern (HAProxy + Apache für SSL-Beendigung). Dies hat aufgrund der Anforderungen an dedizierte IP-Adressen zu Anfangsschwierigkeiten geführt. Aber die Zeiten haben sich geändert und wir erwägen, zu SNI zu wechseln. Daher habe ich auf fundierte Meinungen für 2015 gehofft, ob wir es als unseren Standard übernehmen können.
Ich werde unsere Annahmen darlegen:
- SSL ist tot (lang lebe TLS) aufgrund des POODLE-Angriffs,
- TLS hat SNI integriert
- IE6 / Windows XP ( < sp3) sind aus vielen Gründen tot, nicht zuletzt, weil XP das Ende seiner Lebensdauer erreicht hat.
- Wir haben den Support für IE7 und im Wesentlichen IE8 an dieser Stelle eingestellt
Gehe ich recht in der Annahme, dass SNI mittlerweile grundsätzlich weltweit unterstützt wird?
... Und ...
Gibt es darüber hinaus Szenarien, die ich berücksichtigen sollte und die den Support beeinträchtigen würden?
... und schlussendlich ...
Da HAProxy 1.5 SSL-Terminierung jetzt direkt unterstützt, gibt es Ihrer Erfahrung nach irgendwelche Einschränkungen in direktem Zusammenhang mit SNI, die unsere Möglichkeit zur Einführung dieses Dienstes beeinträchtigen würden?
Antwort1
Gehe ich recht in der Annahme, dass SNI mittlerweile grundsätzlich weltweit unterstützt wird?
Wenn Sie Browser berücksichtigen – ja.
Wenn Sie mit anderen Arten von Anwendungen zu tun haben – nicht wirklich:
- Python 3 wird unterstützt, aber Python 2.7 wurde erst mit der gerade veröffentlichten Version 2.7.9 unterstützt.
- Android bietet nur eingeschränkte Unterstützung. HTTPUrlConnection wurde lange Zeit unterstützt, aber das SDK enthielt eine alte Version von Apache HTTPClient für fortgeschrittenere Funktionen und diese Version unterstützte SNI nicht. Ich weiß nicht, ob sich die Situation mit dem neuesten SDK geändert hat.
- Java wurde erst mit JDK 1.7 unterstützt
- Es gibt immer noch einige Crawler für Suchmaschinen, die SNI nicht unterstützen. Lauthttps://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniingdiese enthalten seit 05/2014 Bing, Yahoo, Baidu und andere.
Antwort2
Gehe ich recht in der Annahme, dass SNI mittlerweile grundsätzlich weltweit unterstützt wird?
Im Wesentlichen ja – obwohl Sie wahrscheinlich auf einige Benutzer in Sonderfällen stoßen werden, die sich über Fehler beschweren, wenn SNI erforderlich ist. Wenn Sie diesen Leuten sagen können, dass sie für Ihren Dienst „bitte einen Browser aus diesem Jahrzehnt verwenden“ sollen, sind Sie auf der sicheren Seite.
Gibt es darüber hinaus Szenarien, die ich berücksichtigen sollte und die den Support beeinträchtigen würden?
Die größten Probleme bestehen in der Unterstützung von Browsern/Client-Betriebssystemen, ich kann mir jedoch auch andere interessante Probleme mit Unternehmensnetzwerken vorstellen, die SSL-Terminierungsproxys verwenden, die die Übergabe des SNI-Teils des TLS-Handshakes nicht unterstützen, wodurch SNI ebenfalls beschädigt würde.
Da HAProxy 1.5 SSL-Terminierung jetzt direkt unterstützt, gibt es Ihrer Erfahrung nach irgendwelche Einschränkungen in direktem Zusammenhang mit SNI, die unsere Möglichkeit zur Einführung dieses Dienstes beeinträchtigen würden?
Ich kann nicht direkt zu den Vorbehalten bei HAProxy sprechen – wir verwenden dessen SSL-Terminierung, aber nicht zusätzlich SNI.