Detectando el soporte del navegador SNI (Server Name Indication) en javascript

Question

Quiero ser capaz de detectar si el navegador admite SNI - Server Name Indication. Espero redirigir a los clientes no conformes a una dirección diferente.

Estaba pensando en cargar algunos contenidos a través de SSL y asegurarme de que se transfirieron de forma segura. De lo contrario, el navegador no es compatible con SNI. Se puede hacer esto?

Answer 1

Puede configurar un servidor que admita SNI, que sirva dos nombres de host, donde necesite SNI y uno que sea una solución alternativa, ambos con el nombre que están hospedando.

Algo a lo largo de las líneas de:

• https://www.example.com/name devuelve una representación diciendo I'm www.example.com
• https://www.example.net/name vuelve I'm www.example.net (y requiere SNI).

Si hace una solicitud XHR a https://www.example.net/name y vuelve www.example.com, a continuación, el navegador no soporta SNI.

Answer 2

Desde que commercerack se actualizó a SNI para todos los sitios, hemos tenido el mismo problema. (Usuarios comenzando el pago y obteniendo un desagradable problema SSL).

Siéntase libre de utilizar esto como punto de partida. A medida que crezca la lista de navegadores, actualizaré, pero ahora sí lo hace IE en XP + Android 2.0-2.2.

https://github.com/brianhorakh/html-sni-useragent-sniffer-warning

Answer 3

No estoy seguro si esto es lo que quiere, pero no es este

RewriteEngine on 

    # Test if SNI will work and if not redirect to too old browser page 
    RewriteCond %{HTTPS} on 
    RewriteCond %{SSL:SSL_TLS_SNI} ="" 
    RewriteRule^http://www.example.com/too-old-browser [L,R=307] 

Si un navegador antiguo trató de usar un sitio que necesita SNI entonces será redirigido (en este caso de nuevo a http y una página que dice navegador es demasiado viejo). Pero siempre obtendrás un error. No puede ser evitado. El navegador dice hola IP ...., y apache responde hola aquí está mi certificado. Si el navegador no proporciona SNI en el hello apache, solo envía un certificado predeterminado (es decir, erróneo). El navegador luego se queja.

Si desea recoger esto en http antes de intercambiar a https entonces se podría poner algo como esto en .htaccess

#Set $_SERVER['SSL_TLS_SNI'] for php = %{SSL:SSL_TLS_SNI} or value 
    SetEnv SSL_TLS_SNI %{SSL:SSL_TLS_SNI} 

Y luego, en su página de hacer un https obtenerlo desde el dominio predeterminado (por defecto para el navegador no dice que hay un error de seguridad). Si SNI está funcionando, en php $ _SERVER ['SSL_TLS_SNI'] tendrá el nombre de dominio, de lo contrario tendrá% {SSL: SSL_TLS_SNI}. Este fragmento de código podría mejorarse pero se entiende la idea.

Answer 4

Solo se puede probar la compatibilidad con SNI antes de que así lo requiera. Es decir, no puede obligar a los usuarios a SNT HTTPS y luego retroceder si no lo admiten, ya que recibirán un error como este (de Chrome en Windows XP) sin forma de proceder.

Así que (por desgracia) el usuario tiene que comenzar realmente a través de una conexión HTTP inseguro y luego se actualizan únicamente si son compatibles con SNI.

Puede detectar soporte para SNI a través de:

1. guión remoto
   En la página HTTP plano, cargar un <script> de su destino SNI HTTPS y si las cargas de secuencia de comandos y se ejecuta correctamente, usted sabe el navegador es compatible con SNI.

2. AJAX entre dominios (CORS)
   Al igual que en la opción 1, podría intentar realizar una petición AJAX entre dominios desde la página HTTP a HTTPS, pero tenga en cuenta que CORS tiene only limited browser support.

3. Sniff el agente de usuario
   Este es probablemente el método menos fiable, y usted tendrá que decidir entre tener una lista negra de los navegadores (y sistemas operativos) se sabe que no apoyarlo, o una lista blanca de conocida sistemas que sí.

   sabemos que todas las versiones de IE, Chrome & Opera en Windows XP y por debajo no son compatibles con SNI. Ver CanIUse.com for full list of supported browsers.