Aceptación de Peticiones sin SNI

En la esquina superior derecha de la pantalla Inbound Address se encuentra el botón Allow non-SNI clients, que está desactivado por defecto. Cuando se activa, el gateway se configura para aceptar peticiones que no incluyan SNI (server name indication). Si se mantiene desactivado, solo se aceptan las peticiones que incluyen SNI.

¿Qué es el SNI?

SNI forma parte del protocolo TLS y se implementó para permitir una conexión segura con certificados dedicados en casos de virtual hosting (es decir, cuando varios nombres de host — o servidores virtuales — comparten la misma IP/servidor). Los servidores virtuales presentaban un problema para TLS porque el handshake TLS ocurre antes de la sesión HTTP (que es cuando el servidor entiende a qué dirección específica se está accediendo). Lo que hace SNI es añadir la información del nombre del host (o servidor virtual) al que se accederá como parte del proceso de handshake; como el servidor conoce cuál es el nombre del host ya en el momento del handshake, también sabe qué certificado debe presentar.

Es importante tener en cuenta que se recomienda aceptar sólo las peticiones que incluyan SNI — es decir, que indiquen el nombre del host como parte del handshake TLS. Esto se debe a que SNI fue implementado exactamente para proporcionar una mejor seguridad en casos de virtual hosting, permitiendo que cada servidor virtual tenga su propio certificado y que el handshake TLS pueda ocurrir incluso en casos de IPs compartidas. Además, como SNI es el estándar recomendado desde hace tiempo (se añadió al RFC 3546 en 2003), los clientes que no lo adoptan suelen ser aplicaciones bastante heredadas. Lo ideal sería modernizar estas aplicaciones para que se ajusten a las normas de seguridad actuales.

Si todavía quiere aceptar peticiones que no incluyan SNI, active el botón Allow non-SNI clients en la esquina superior derecha de la pantalla Inbound Address:

non sni

Cuando el botón esté activado, deberá confirmar su elección. A continuación, se abrirá una ventana (ver imagen inferior) para que seleccione la dirección de entrada que será el servidor por defecto. Esto significa que todas las peticiones entrantes que no incluyan SNI serán tratadas como dirigidas a la dirección de entrada elegida y el certificado registrado para esta dirección de entrada será presentado durante el handshake TLS. Tenga en cuenta que la ruta de las llamadas no se modifica; el servidor por defecto sólo sirve para que se presente el certificado de la dirección de entrada elegida. Por esta razón, sugerimos que la dirección de entrada elegida como servidor por defecto contenga un certificado comodín que cubra los nombres de host que comparten la misma IP.

non sni select

Después de elegir la dirección de entrada para que sea el servidor por defecto, haga clic en SELECT AND SAVE. Como resultado, el botón Allow non-SNI clients se activará.

Sólo puede elegir una dirección de entrada para que sea el servidor por defecto. Sin embargo, puede sustituirla en cualquier momento. Para eso, haga clic en el icono icon settings y seleccione otra dirección de entrada en la ventana modal que aparecerá. El icono para seleccionar otra dirección de entrada sólo quedará activo para ser pulsado cuando el botón Allow non-SNI clients estuviere activado.

También puede deshabilitar la opción en cualquier momento desactivando el botón Allow non-SNI clients. En este caso, las peticiones que no incluyan SNI no serán aceptadas por el gateway.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]