Facebook
Внимание
У Вас отключена поддержка Cookie в браузере. Отображение сайта будет некорректно!
en ru
В блог

nonSNI: фича, которая есть не у всех

Дата: 14.05.2018

В современных системах на одном IP-адресе зачастую хостится много сервисов. И у каждого сервиса должен быть свой сертификат безопасности. Чтобы различать сертификаты на одном IP, в дополнение к SSL был придуман стандарт SNI.

Что такое SNI?

SNI (Server Name Identification) — это расширение протокола TLS, которое указывает, к какому сайту пытается подключиться посетитель в начале установления соединения.

SNI позволяет ещё до SSL-хендшейка уточнить, какой именно сертификат нужен. Но чтобы всё работало, клиентский браузер должен поддерживать SNI.

Однако технологию SNI поддерживают не все браузеры. И в таком случае возникнет сообщение о неверном SSL-сертификате.

Как быть с системами, которые не поддерживают SNI?

Старые версии серверного ПО и браузеров не поддерживают SNI (например, Internet Explorer 6 и 7 под Windows XP или Android 2.0).

Некоторый софт построен на древних фреймворках, от которых клиенты не хотят отказываться. Обновляться они точно не будут, а доступность сервисов критична.

Тогда для клиентов, использующих устаревшие версии браузеров и фреймворков, можно выделять отдельный адрес, где без SNI выдаётся только сертификат, который ждёт софт этого клиента. Но это дорого и неудобно в администрировании.

Что мы предложили?

Если SNI не запрошен, мы выдаём в качестве default-сертификата *.gcdn.co. Остаётся лишь одно требование: клиентский CNAME должен быть на домене *.gcdn.co. Тогда SNI не будет запрошен и ему отдастся этот дефолтный сертификат.

Эту фичу мы называем nonSNI. И для некоторых наших клиентов наличие nonSNI в G-CDN — это важное преимущество.

Браузеры, поддерживающие SNI:

  • Internet Explorer 7 и новее
  • Microsoft Edge
  • Mozilla Firefox 2.0 и новее
  • Google Chrome 6 и новее
  • Opera 8 и новее с включенной поддержкой TLS 1.1
  • «Яндекс.Браузер»
  • Safari 2.1 и новее

Мобильные платформы, поддерживающие SNI:

  • iOS 4.0 и новее
  • Android 3.0 (Honeycomb) и новее
  • Windows Phone 7 и новее

ПОДПИСКА

Ваше имя: *

Ваш e-mail: *