SSL握手中win xp和SNI的那點事

一、背景需求
server1-3使用不同的域名對外提供https服務，用nginx作為前端負載均衡器並負責https集中解密工作(以使用者訪問的域名為依據進行流量分配，同樣的也是以域名為依據來判斷應該將哪張證書丟給使用者。即：SNI(Server Name Identification)功能)，使用者為WIN XP和WIN 7(都使用IE8瀏覽器)。

1 [root@localhost ~]$ nginx -V
2 nginx version: nginx/1.14.2
3 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC) 
4 built with OpenSSL 1.0.2k-fips  26 Jan 2017
5 TLS SNI support enabled        ===> 檢視SNI狀態

二、工作原理
1、使用者(WIN XP、WIN 7)通過DNS解析獲知"a.test.com"、"b.test.com"、"c.test.com"三個域名對應的IP都為"192.168.178.154"
2、使用者(WIN XP、WIN 7)與"192.168.178.154"進行SSL握手，獲取相應域名證書後再次向"192.168.178.154"發起真正的http(已加密)請求
3、"192.168.178.154"收到加密後的http請求後先進行解密，然後再根據相應的策略向後端伺服器server1-3發起http請求(未加密)
4、後端伺服器server1-3進行處理後將回應的包傳送給nginx，nginx將該資料進行加密後再次封裝然後傳送給使用者

三、出現的問題：
就在大家都覺得這個邏輯十分順暢的時候問題來了，我們發現WIN XP使用者使用IE瀏覽器不能正常訪問，其他系統均可以正常訪問

四、排障：
1、WIN XP訪問同樣域名的80埠是否正常？ 結果：正常。 說明問題出在SSL握手上了
2、將WIN XP和WIN 7訪問443埠的流量進行抓包分析(可以看到WIN7的SSL握手成功，而WINXP第一次使用TLSv1握手失敗，然後自動換用SSLv3進行握手，但依然失敗)

3、為什麼WIN7發hello的時候的nginx就會迴應hello，而WINXP發hello時nginx就會回Alert呢？ 我們來展開WIN7和WINXP的hello包來仔細看下。(可以看到WIN7的hello包中攜帶了Extension:server_name欄位，並且裡面包含了要訪問的域名資訊。而反觀WINXP則沒有該欄位)

4、那WINXP換用其他瀏覽器能不能解決這個問題呢？(換用搜狗瀏覽器試下，結果發現可以訪問了。抓包發現搜狗瀏覽器在傳送SSL的hello包時會攜帶Extension:server_name欄位，並且還附帶了一大堆其他引數)

五、總結：

WINXP在使用IE訪問https網站時，對方伺服器不能使用SNI方式進行分流，不然會因為不能建立SSL握手而訪問失敗

附：解決方案

1、WINXP換用其他瀏覽器（對於公網服務不現實）

2、服務端通過IP地址進行分流（WINXP雖不攜帶訪問的域名資訊，但它總有三層包頭吧！）（推薦）

3、服務端全站只用一張大通配證書，無論使用者訪問哪個域名都將該證書丟給它(不推薦)

&n