GoodNucken
RIP
- Сообщения
- 345
- Реакции
- 492
Это произошло еще 29 сентября, но новость прошла незамеченной мимо Хабра.
Как написано в
Что предлагается вкратце: бесплатные wildcard-сертификаты, поддержка SPDY, возможность зашифровать трафик также между cloudflare и вашим сервером. Заинтересовавшихся прошу под кат.
Использование ECDSA создает заметно меньшую нагрузку на сервер, чем применение «традиционных» алгоритмов RSA. Технология SNI, в свою очередь, позволяет разместить на ограниченном количестве IP-адресов Cloudflare более 2 млн сайтов, управляемых сетью. При этом имя хоста передается как часть TLS negotiation (а не после установления закрытого канала, как в традиционной схеме, требующей выделенный IP или порт), что позволяет прокси-серверу сразу выбирать нужный сертификат и устанавливать соединение с требуемым ресурсом.
К сожалению, эти технологии не поддерживаются рядом старых операционных систем и браузеров. Среди них наиболее сильны позиции у IE/WinXP (включая более ранние ОС), а также Android до версии Ice Cream Sandwich. При необходимости поддерживать максимально большое количество устройств/операционок, предлагается использовать платные тарифы, включающие в себя более полные cipher suite's (что логично, за дополнительную нагрузку на сервера необходимо платить).
Полный список поддерживаемых клиентов для Universal SSL выглядит следующим образом:
Desktop Browsers
При этом любая версия Internet Explorer на Windows XP не поддерживает SNI.
Mobile Browsers
Read more:
Несмотря на перечисленные выше недостатки, технология выглядит достаточно интересно (учитывая стоимость). Многим сайтам, еще не использовавшим HTTPS, предоставилась возможность исправить это «упущение»
А что думаете вы?
UPD:В браузере пользователя сертификаты сервера выглядят следующим образом:
Как написано в
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, «еще вчера в интернете было 2 миллиона сайтов, поддерживающих SSL. Сегодня мы удвоим это число.»
Что предлагается вкратце: бесплатные wildcard-сертификаты, поддержка SPDY, возможность зашифровать трафик также между cloudflare и вашим сервером. Заинтересовавшихся прошу под кат.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
)Использование ECDSA создает заметно меньшую нагрузку на сервер, чем применение «традиционных» алгоритмов RSA. Технология SNI, в свою очередь, позволяет разместить на ограниченном количестве IP-адресов Cloudflare более 2 млн сайтов, управляемых сетью. При этом имя хоста передается как часть TLS negotiation (а не после установления закрытого канала, как в традиционной схеме, требующей выделенный IP или порт), что позволяет прокси-серверу сразу выбирать нужный сертификат и устанавливать соединение с требуемым ресурсом.
К сожалению, эти технологии не поддерживаются рядом старых операционных систем и браузеров. Среди них наиболее сильны позиции у IE/WinXP (включая более ранние ОС), а также Android до версии Ice Cream Sandwich. При необходимости поддерживать максимально большое количество устройств/операционок, предлагается использовать платные тарифы, включающие в себя более полные cipher suite's (что логично, за дополнительную нагрузку на сервера необходимо платить).
Полный список поддерживаемых клиентов для Universal SSL выглядит следующим образом:
Desktop Browsers
- Internet Explorer 7 and later
- Firefox 2
- Opera 8 with TLS 1.1 enabled
- Google Chrome:
- Windows XP: Chrome 6 и последующие
- Vista и далее — полная поддержка
- OS X начиная с 10.5.7: Chrome 5.0.342.0 и последующие
- Safari 2.1 и последующие (начиная с OS X 10.5.6 или Windows Vista).
При этом любая версия Internet Explorer на Windows XP не поддерживает SNI.
Mobile Browsers
- Mobile Safari for iOS 4.0+
- Android 3.0 (Honeycomb)+
- Windows Phone 7+
Read more:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Несмотря на перечисленные выше недостатки, технология выглядит достаточно интересно (учитывая стоимость). Многим сайтам, еще не использовавшим HTTPS, предоставилась возможность исправить это «упущение»
А что думаете вы?UPD:В браузере пользователя сертификаты сервера выглядят следующим образом:
![ПР [support]](/data/avatars/s/177/177925.jpg?1699618178){kind=avatar}
