Performance Haproxy SNI vs HTTP主机ACL检查性能_Performance_Ssl_Haproxy

Performance Haproxy SNI vs HTTP主机ACL检查性能

performance ssl

Performance Haproxy SNI vs HTTP主机ACL检查性能,performance,ssl,haproxy,Performance,Ssl,Haproxy,我有一个HAproxy 1.5设置，它在几个Web服务器前卸载SSL（这样，它们只处理HTTP）我的SSL证书是一个通配符，我们正在根据FQDN平衡到不同的后端我的前端配置如下所示： ... frontend my-frontend bind ip:443 ssl crt /var/etc/haproxy/wildcard_cert.pem mode http log global opt

我有一个HAproxy 1.5设置，它在几个Web服务器前卸载SSL（这样，它们只处理HTTP）

我的SSL证书是一个通配符，我们正在根据FQDN平衡到不同的后端

我的前端配置如下所示：

...
frontend my-frontend
    bind            ip:443 ssl crt /var/etc/haproxy/wildcard_cert.pem  
    mode            http
    log             global
    option          httplog
    option          forwardfor

    use_backend     my-backend      if { ssl_fc_sni my.domain.org }
    use_backend     my-backend2     if { ssl_fc_sni my2.domain.org }

    acl             is-domain   hdr(host) -i my.domain.org
    acl             is-domain2  hdr(host) -i my2.domain.org
    use_backend     my-backend if is-domain
    use_backend     my-backend2 if is-domain2
...

特殊选项ssl\u fc\u sni可用于ssl卸载以访问sni值的情况（另一个选项req\u ssl\u sni适用于ssl传递的情况）

我想知道ssl\u fc\u sni是否比HTTP头提取acl执行得更快？HAProxy是否有机会提取SNI值并在读取HTTP内容、提取Host:Header和计算我的第二个ACL之前使用它

还是表演都一样

谢谢，

我在haproxy邮件列表上问了同样的问题，我得到了答案：

ssl\u fc\u sni

的执行速度比

hdr（主机）

快，但它将是难以察觉的

使用SNI值作为后端选择器不是一个好主意。基本的

hdr（主机）

绝对更标准、更干净、更安全

邮件列表存档：

Willy的帖子似乎暗示SNI比主机更容易被欺骗，这就是为什么SNI“更标准、更干净、更安全”的原因吗？