.net可以知道客戶端是否可以通過HTTP進行SNI功能？

Question

G'Day，

我們希望使用SNI在基於雲的單一IP解決方案上託管SSL網站。 .net能否在TLS握手和HTTP之前判斷客戶端是否支持SNI？

Answer 1

您不清楚「TLS握手」之前「」的含義。

服務器名稱擴展名位於客戶端Hello消息中，這是客戶端發送的用於啓動握手的第一個TLS消息。由於HTTPS也始終從首先建立TLS連接開始，因此根本就沒有任何事情發生。在握手之前瞭解客戶是否具備SNI能力是根本不可能的。

您可能可以在客戶端使用JavaScript to try to detect SNI support對某些內容進行排序。這就是說，這不太可能解決您的一般問題：如果您在SNI不受支持時有回退/通配符證書，則除了事實證書是not recommended之外，其他特定證書幾乎沒有意義。如果你期望SNI，你會阻止不支持它的客戶端。

Answer 2

如果你看看維基百科，它列出以下爲SNI兼容。

• Internet Explorer 7或更高版本，在Windows Vista或更高版本上。不在Windows XP上的任何Internet Explorer版本中，因爲SNI依賴於隨Windows Vista附帶的SChannel系統組件。
• 的Mozilla Firefox 2.0或更高版本
• 歌劇院8.0（2005）或更高版本的Android
• 谷歌瀏覽器（Vista或更高，XP（在TLS 1.1協議必須啓用）
• 的Opera Mobile版本至少爲10.1測試版在Chrome 6或更高版本。
• OS上的Chrome 5.0.342.1 X 10.5.7或更高版本或更高版本）
• 的Safari 3.0或更高版本（的Mac OS X 10.5.6或更高版本和Windows Vista或更高版本）
• 的Konqueror/KDE 4.7或更高版本
• MobileSafari在蘋果iOS 4.0或蜂窩（3.x版）或更高版本
• 的Android默認瀏覽器更新
• 黑莓10和黑莓平板電腦操作系統的默認瀏覽器
• 的Windows Phone 7或Maemo操作
後
• 爲MicroB
• 奧德賽上MorphOS

所以如果你開始在HTTP的連接，那麼你可以檢查useragent並檢測客戶端支持SNI，如果他們確實將它們重定向到HTTPS，如果不將它們保留在HTTP。

在我們的例子中，我們關心的是，唯一的Web瀏覽器不兼容SNI是IE瀏覽器在XP ...