I browser e gli strumenti inviano il campo "SNI" per impostazione predefinita collegandosi agli endpoint https?

Naviga le tue risposte
2

Sto configurando HaProxy per https in modalità passthrough ( tcp ) senza terminazione SSL / TLS. Voglio essere in grado di indirizzare il traffico a diversi back-end in base al nome host richiesto da un client.

Dalla documentazione HaProxy ho appreso che c'è un campo% c_de% non criptato che posso usare per impostare la regola SNI .

La mia domanda è: la maggior parte del browser supporta la funzionalità ACL , invia questo campo per impostazione predefinita? Invialo anche altri strumenti come SNI o curl ?

    
posta Derp 15.10.2017 - 14:32
fonte

1 risposta

5

Tutti i moderni browser supportano SNI e lo usano di default (probabilmente non c'è nemmeno una via per spegnerlo). Le versioni correnti della maggior parte degli strumenti come il ricciolo usano anche SNI di default, ma non tutte. Ad esempio con openssl s_client hai esplicitamente bisogno di specificare -servername ... se vuoi usare SNI e in alcuni linguaggi di programmazione SNI è usato solo di default se usi librerie HTTP di livello superiore ma non se usi solo le associazioni TLS di livello inferiore.

Per ulteriori informazioni, consulta anche SSLLab: funzionalità degli agenti utente .

    
risposta data 15.10.2017 - 15:51
fonte

Leggi altre domande sui tag

Esiste un rischio per la sicurezza nell'uso di puntatori anziché istanze di struct? Supponendo che UAC sia abilitato, un account non amministratore offre miglioramenti di sicurezza?