Somos um serviço multilocatário e encerramos nosso SSL em nossos balanceadores de carga (HAProxy + Apache para terminação SSL), o que tem causado problemas crescentes devido aos requisitos de IP dedicado. Mas os tempos mudaram e estamos pensando em mudar para o SNI, então eu esperava opiniões fundamentadas para 2015 sobre adotá-lo como nosso padrão.
Vou delinear nossas suposições:
- SSL está morto (vida longa ao TLS) devido ao ataque POODLE,
- TLS tem SNI integrado
- IE6 / Windows XP (<sp3) estão mortos por vários motivos, e o menos importante deles é o XP indo para EOL
- Encerramos o suporte para o IE7 e essencialmente para o IE8 neste momento
Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?
... e ...
Existem cenários que eu deveria considerar além disso e que afetariam o suporte?
... e finalmente ...
Agora que o HAProxy 1.5 oferece suporte direto à terminação SSL, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?
Responder1
Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?
Se considerarmos os navegadores - sim.
Se você tiver que lidar com outros tipos de aplicativos - na verdade não:
- Python 3 tem suporte, mas Python 2.7. obteve suporte apenas com a versão 2.7.9 recém-lançada
- O Android tem suporte limitado. O HTTPUrlConnection tinha suporte há muito tempo, mas o SDK continha uma versão antiga do Apache HTTPClient para coisas mais avançadas e esta versão não suportava SNI. Não sei se a situação mudou com o SDK mais recente.
- Java obteve suporte apenas com JDK 1.7
- Ainda existem alguns rastreadores para mecanismos de pesquisa que não suportam SNI. De acordo comhttps://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniingisto contido em 05/2014 Bing, Yahoo, Baidu e outros.
Responder2
Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?
Essencialmente, sim - embora você provavelmente encontre alguns usuários extremos que reclamarão de problemas se o SNI for necessário. Se você tiver a capacidade de dizer a essas pessoas “use um navegador desta década, por favor” para o seu serviço, então está pronto.
Existem cenários que eu deveria considerar além disso e que afetariam o suporte?
O suporte ao sistema operacional navegador/cliente é o maior, embora eu possa imaginar alguns outros problemas divertidos com redes corporativas usando proxies de terminação SSL que não suportam a passagem da parte SNI do handshake TLS, o que também quebraria o SNI.
Agora que o HAProxy 1.5 oferece suporte direto à terminação SSL, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?
Não posso falar diretamente sobre as advertências do HAProxy - estamos usando a terminação SSL, mas não o SNI.