SNI para balanceamento de carga multilocatário em 2015

SNI para balanceamento de carga multilocatário em 2015

Somos um serviço multilocatário e encerramos nosso SSL em nossos balanceadores de carga (HAProxy + Apache para terminação SSL), o que tem causado problemas crescentes devido aos requisitos de IP dedicado. Mas os tempos mudaram e estamos pensando em mudar para o SNI, então eu esperava opiniões fundamentadas para 2015 sobre adotá-lo como nosso padrão.

Vou delinear nossas suposições:

  • SSL está morto (vida longa ao TLS) devido ao ataque POODLE,
  • TLS tem SNI integrado
  • IE6 / Windows XP (<sp3) estão mortos por vários motivos, e o menos importante deles é o XP indo para EOL
  • Encerramos o suporte para o IE7 e essencialmente para o IE8 neste momento

Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?

... e ...

Existem cenários que eu deveria considerar além disso e que afetariam o suporte?

... e finalmente ...

Agora que o HAProxy 1.5 oferece suporte direto à terminação SSL, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?

Responder1

Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?

Se considerarmos os navegadores - sim.

Se você tiver que lidar com outros tipos de aplicativos - na verdade não:

  • Python 3 tem suporte, mas Python 2.7. obteve suporte apenas com a versão 2.7.9 recém-lançada
  • O Android tem suporte limitado. O HTTPUrlConnection tinha suporte há muito tempo, mas o SDK continha uma versão antiga do Apache HTTPClient para coisas mais avançadas e esta versão não suportava SNI. Não sei se a situação mudou com o SDK mais recente.
  • Java obteve suporte apenas com JDK 1.7
  • Ainda existem alguns rastreadores para mecanismos de pesquisa que não suportam SNI. De acordo comhttps://www.mnot.net/blog/2014/05/09/if_you_can_read_this_youre_sniingisto contido em 05/2014 Bing, Yahoo, Baidu e outros.

Responder2

Estou correto ao assumir que o SNI é essencialmente suportado globalmente agora?

Essencialmente, sim - embora você provavelmente encontre alguns usuários extremos que reclamarão de problemas se o SNI for necessário. Se você tiver a capacidade de dizer a essas pessoas “use um navegador desta década, por favor” para o seu serviço, então está pronto.

Existem cenários que eu deveria considerar além disso e que afetariam o suporte?

O suporte ao sistema operacional navegador/cliente é o maior, embora eu possa imaginar alguns outros problemas divertidos com redes corporativas usando proxies de terminação SSL que não suportam a passagem da parte SNI do handshake TLS, o que também quebraria o SNI.

Agora que o HAProxy 1.5 oferece suporte direto à terminação SSL, há alguma advertência em sua experiência diretamente relacionada ao SNI que afetará nossa capacidade de implementar este serviço?

Não posso falar diretamente sobre as advertências do HAProxy - estamos usando a terminação SSL, mas não o SNI.

informação relacionada