Pengenalan SNI
Alamat IPv4 semakin langka. Oleh karena itu, hosting virtual diperkenalkan di server HTTP untuk memungkinkan beberapa nama domain menggunakan alamat IP yang sama. Server mengarahkan permintaan ke nama domain (host virtual) berbeda berdasarkan bidang host dalam permintaan.
Jika alamat IP server HTTPS digunakan bersama oleh beberapa nama domain, server tidak mengetahui bidang host spesifik yang diminta klien sebelum jabat tangan ditetapkan. Akibatnya, server HTTP tidak dapat meneruskan permintaan ke nama domain tertentu. Untuk menyelesaikan jabat tangan, server harus mendapatkan sertifikat untuk nama domain tersebut.
Indikasi Nama Server (SNI) dirancang untuk menyelesaikan masalah ini. SNI mengharuskan klien membawa bidang host dari nama domain yang akan diakses sebelum jabat tangan ditetapkan. Server kemudian dapat menggunakan sertifikat nama domain yang benar untuk menetapkan jabat tangan dan koneksi TLS dengan klien.
SNI pertama kali diperkenalkan pada tahun 2004 dan saat ini didukung oleh semua browser utama, server, serta alat pengujian.
Alasan mengapa klien harus mendukung SNI saat Anda menggunakan Anti-DDoS Pro atau Anti-DDoS Premium dan WAF
Instance Anti-DDoS Pro, Anti-DDoS Premium, atau Web Application Firewall (WAF) bertindak sebagai proxy dan berinteraksi dengan server nyata (RS) untuk memproses layanan HTTPS. Anda harus mengunggah sertifikat dan kunci pribadi saat mengonfigurasi perlindungan HTTPS. Jumlah alamat IP instance Anti-DDoS Pro atau Anti-DDoS Premium dan jumlah instance WAF terbatas, sehingga tidak mungkin menetapkan server fisik ke setiap nama domain. Oleh karena itu, instance Anti-DDoS Pro, Anti-DDoS Premium, dan WAF harus berisi server yang digunakan bersama oleh beberapa nama domain. Dalam hal ini, klien harus mendukung SNI untuk berinteraksi dengan instance Anti-DDoS Pro, Anti-DDoS Premium, atau WAF.
Solusi
Servers
Konfigurasikan server Anda untuk mendukung SNI.
Clients
- Kami merekomendasikan agar Anda menggunakan versi terbaru Google Chrome atau Mozilla Firefox.
- Jangan konfigurasikan perlindungan situs web Lapisan 7 di Anti-DDoS Pro atau Anti-DDoS Premium. Sebagai gantinya, konfigurasikan penerusan port Lapisan 4. Catatan Konfigurasi penerusan port Lapisan 4 tidak dapat meredam serangan banjir HTTP.
- Browser desktop yang didukung:
- Google Chrome 5 dan yang lebih baru
- Google Chrome 6 dan versi selanjutnya
- Mozilla Firefox 2 dan versi yang lebih baru
- Internet Explorer 7 dan yang lebih baru di Windows Vista, Windows Server 2008, dan yang lebih baru
- Konqueror 4.7 dan yang lebih baru
- Opera 8 dan yang lebih baru
- Safari 3.0 dan yang lebih baru di Windows Vista, Windows Server 2008 dan yang lebih baru, serta Mac OS X 10.5.6 dan yang lebih baru
- Browser seluler yang didukung:
- Android 3.0 Honeycomb dan yang lebih baru
- iOS 4 dan yang lebih baru
- Windows Phone 7 dan yang lebih baru
- Server yang didukung:
- Apache 2.2.12 dan yang lebih baru
- Apache Traffic Server 3.2.0 dan yang lebih baru
- Cherokee
- HAProxy 1.5 dan yang lebih baru
- IIS 8.0 dan yang lebih baru
- Lighttpd 1.4.24 dan yang lebih baru
- LiteSpeed 4.1 dan yang lebih baru
- NGINX 0.5.32 dan yang lebih baru
- Alat baris perintah yang didukung:
- cURL 7.18.1 dan yang lebih baru
- GNU Wget 1.14 dan yang lebih baru
- Pustaka yang didukung:
- GnuTLS
- JSSE (Oracle Java) 7 dan yang lebih baru, yang hanya untuk klien
- libcurl 7.18.1 dan yang lebih baru
- NSS 3.1.1 dan yang lebih baru
- OpenSSL 0.9.8j dan yang lebih baru
- OpenSSL 0.9.8f dan yang lebih baru, yang dikonfigurasi dengan flag
- Qt 4.8 dan yang lebih baru