問題タブ [sni]

よく知られているドキュメントに基づいて、TLS SNI は IE 7 以降を使用する Windows Vista クライアント以降で動作します。Vista で IE 9 を使用して TLS SNI を試してみましたが、期待どおりに動作します。

しかし、クライアントは、Vista IE9 クライアントで TLS SNI 経由で当社の Web サイトに接続できないと報告しています。彼は非 SNI TLS を使用して接続でき、iPad を使用して同じ LAN から TLS SNI に接続することもできます。そのため、彼のコンピューターには SNI をブロックしている何かがあるようです。彼はインターネット オプションをチェックし、すべての SSL/TLS オプションがチェックされました。

SNI の動作を妨げている原因は何でしょうか? ファイアウォールやウイルス対策ソフトウェア プログラムですか? 通常、SNI を破る既知のものは何ですか?

この質問は何度も聞かれますが、よく説明された回答があります。XP のIE はサポートしていません

しかし、個々の SSL ベースの URL に割り当てる十分なパブリック IP がないという問題があります。WindowsXP および IE8 で SNI サイト (単一の IP を指す) を実行できるかという非常に基本的な質問があります。

IPS の別のプールを購入するなど、いくつかの回避策がありますが、それにはかなりの費用がかかります。ありがとう

一部の Android デバイスでは正常に動作する phonegap で FileTransfer プラグインを使用しようとしていますが、他のデバイスではリクエストがキャンセルされ、サーバーが SNI エラーをログに記録しています。

これは、クライアントが失敗しているものです。ストリームはキャンセルされます:

正しいホストを Host ヘッダーとして手動で指定するなど、すべてを試しましたが、結果は見られませんでした。

足りないものはありますか？

繰り返しになりますが、まったく同じ JS とサーバー側のコードは、他の Android デバイスや iOS デバイスでも問題なく動作します。

私の Android アプリケーションは、正しいサーバーにアクセスするために SNI に依存しているため、TLS が必要であり、SSLv3 では動作しません。私はokhttpを使用しており、レトロフィットとサーバーログは、TLSハンドシェイクが突然SSLv3に切り替わり、ログ時間の間このままになる可能性があることを示しており、サーバー名表示のサポートがないためにホスト名検証の失敗が繰り返される.

状況によっては (どの状況ですか?)、okhttp が TLS の使用を停止し、フォールバックとして SSL に切り替えることを理解しています。ただし、これは SNI の場合は受け入れられません。フォールバックを無効にする方法はありますか?

Apache ログの例:

SNIの理解に関するこの質問をするのに適切な場所にいることを願っています

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication#.U5wEnfmSzOzによると、 「SNI の導入により、クライアントは接続先のサーバーの名前を示すことができます。ハンドシェイク プロセスで「Client Hello」メッセージの一部として接続しようとしています」

私の質問は、ブラウザや HTTP クライアント (java.net など) のようなクライアントがこのサーバー名を CLIENT HELLO でどのように送信するのかということです?? クライアントはそれ自体で行いますか、それともプログラムで https 要求に追加する必要がありますか (たとえば、JAVA.net HttpsURLConnection での方法)

http://www.ietf.org/rfc/rfc4366.txtから読み取る 「現在、サポートされているサーバー名は DNS ホスト名のみです」したがって、ホスト名は SNI 準拠のクライアントによって送信される server_name であるか、クライアントによって送信される他の名前になります。 ..

私が明確であることを願っています。不明な場合は質問/文言を改善してください。不明な場合はお知らせください。