我想为缺少 SNI 支持的客户端(Win XP 上的 IE/FF/Safari、Android <2.2 等)支持 SSL。
我选择的解决方案是让 nginx 在单独的端口上监听每个证书。
问题是:还有其他方法可以解决这个问题吗,或者我做得对吗?
答案1
这是解决问题的一种方法,但如果这是好方法,可以进行讨论。许多受限网络只能访问端口 80 和 443,这使得这些用户无法访问您的内容。
解决这个问题的方法是拥有多个 IP 地址并在每个 IP 地址上拥有一个证书。
另一个解决方案是使用 UCC SSL 证书。我不知道您要保护多少个域名,以及您是否经常对此进行更改,但是Comodo 提供这些。
答案2
如果您仅限于一个 IP 地址,那基本上是正确的。
如果您可以使用多个 IP 地址,那么最好将每个 IP 绑定到标准 HTTPS 端口。如果担心这一点,在这种情况下,浏览器地址栏对普通用户来说看起来就不会那么奇怪了。