¿Los navegadores y herramientas envían el campo 'SNI' de forma predeterminada a los puntos finales https?

2

Estoy configurando HaProxy para https en modo passthrough ( tcp ) sin terminación SSL / TLS. Quiero poder enrutar el tráfico a diferentes backends en función del nombre de host solicitado por un cliente.

De la documentación de HaProxy, aprendí que hay un campo SNI sin cifrar que puedo usar para configurar la regla ACL .

Mi pregunta es: ¿La mayoría de los navegadores que admiten la función SNI envían este campo de forma predeterminada? ¿Otras herramientas como curl o wget también lo envían?

    
pregunta Derp 15.10.2017 - 14:32
fuente

1 respuesta

5

Todos los navegadores modernos admiten SNI y lo usan de manera predeterminada (probablemente no haya ni un solo lugar para apagarlo). Las versiones actuales de la mayoría de las herramientas como curl usan SNI también por defecto, pero no todas. Por ejemplo, con openssl s_client explícitamente necesita especificar -servername ... si desea usar SNI y en algunos lenguajes de programación, SNI solo se usa de manera predeterminada si usa bibliotecas HTTP de nivel superior, pero no si solo usa los enlaces TLS de nivel inferior.

Para obtener más información, consulte también SSLLabs: Capacidades de agente de usuario .

    
respondido por el Steffen Ullrich 15.10.2017 - 15:51
fuente

Lea otras preguntas en las etiquetas