Somos un servicio multiinquilino y terminamos nuestro SSL en nuestros balanceadores de carga (HAProxy + Apache para terminación SSL), esto ha causado problemas crecientes debido a los requisitos de IP dedicada. Pero los tiempos han cambiado y estamos considerando pasar a SNI, por lo que esperaba opiniones informadas para 2015 sobre su adopción como nuestro estándar.
Voy a resumir nuestras suposiciones:
- SSL está muerto (larga vida a TLS) debido al ataque POODLE,
- TLS tiene SNI integrado
- IE6/Windows XP (< sp3) están muertos por muchas razones, una de las cuales es que XP está llegando al EOL
- Hemos cancelado el soporte para IE7 y esencialmente IE8 en este momento.
¿Estoy en lo cierto al suponer que SNI tiene soporte esencialmente global ahora?
... y ...
¿Hay escenarios que debería considerar más allá de esto que afectarían el soporte?
... y finalmente ...
Ahora que HAProxy 1.5 admite la terminación SSL directamente, ¿hay alguna advertencia en su experiencia relacionada directamente con SNI que afectará nuestra capacidad para implementar este servicio?
Respuesta1
¿Estoy en lo cierto al suponer que SNI tiene soporte esencialmente global ahora?
Si considera los navegadores, sí.
Si tiene que lidiar con otro tipo de aplicaciones, en realidad no:
- Python 3 tiene soporte, pero Python 2.7. Solo obtuve soporte con la versión recién lanzada 2.7.9.
- Android tiene soporte limitado. HTTPUrlConnection fue compatible durante mucho tiempo, pero el SDK contenía una versión antigua de Apache HTTPClient para cosas más avanzadas y esta versión no era compatible con SNI. No sé si la situación cambió con el último SDK.
- Java obtuvo soporte solo con JDK 1.7
- Todavía existen algunos rastreadores para motores de búsqueda que no son compatibles con SNI. De acuerdo ahttps://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniingesto contenido en 05/2014 Bing, Yahoo, Baidu y otros.
Respuesta2
¿Estoy en lo cierto al suponer que SNI tiene soporte esencialmente global ahora?
Básicamente, sí, aunque es probable que se encuentre con algunos usuarios de casos extremos que se quejarán de que no funciona si se requiere SNI. Si tiene la capacidad de decirles a esas personas "use un navegador de esta década, por favor" para su servicio, entonces está listo.
¿Hay escenarios que debería considerar más allá de esto que afectarían el soporte?
La compatibilidad con el sistema operativo del navegador/cliente es la más importante, aunque puedo imaginar otros problemas divertidos con las redes corporativas que utilizan servidores proxy de terminación SSL que no admiten pasar la parte SNI del protocolo de enlace TLS, lo que también rompería el SNI.
Ahora que HAProxy 1.5 admite la terminación SSL directamente, ¿hay alguna advertencia en su experiencia relacionada directamente con SNI que afectará nuestra capacidad para implementar este servicio?
No puedo hablar directamente de las advertencias con HAProxy: estamos usando su terminación SSL pero no SNI además.