
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Exchange Server">


<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>


</head>


<body>


<div dir="auto">


<div dir="auto">Jeffrey,</div>


<div dir="auto"><br>


</div>


<div dir="auto">If I read OP's information right, the test they were seeing was that it says it needs SNI support and a number of browsers showed "No SNI support".  I know from testing OpenResty supports SNI.  That isn't the issue here I believe.</div>


<div dir="auto"><br>


</div>


<div dir="auto"><br>


</div>


<div dir="auto"><br>


</div>


<div id="x_composer_signature" dir="auto">


<div dir="auto" style="font-size:12px; color:#575757">Sent from my Galaxy</div>


</div>


<div dir="auto"><br>


</div>


<div><br>


</div>


<div><br>


</div>


<div>-------- Original message --------</div>


<div>From: Jeffrey Walton <noloader@gmail.com> </div>


<div>Date: 3/15/24 14:24 (GMT-05:00) </div>


<div>To: nginx@nginx.org </div>


<div>Cc: Thomas Ward <teward@thomas-ward.net> </div>


<div>Subject: Re: No SNI support on multisite installation </div>


<div><br>


</div>


</div>


<font size="2"><span style="font-size:11pt;">


<div class="PlainText">On Fri, Mar 15, 2024 at 2:05 PM Thomas Ward via nginx <nginx@nginx.org> wrote:<br>


><br>


> If you only have one IP, then you cannot fix this.  SNI is what determines which certificate to serve for the request.  The only solution would be individual IPs for each domain, thus not needing SNI to get the correct cert for each domain.<br>


<br>


The real fix needs to be made in openrusty. SNI is a standard<br>


extension. its about time openrusty properly support it.<br>


<br>


Another way to fix it is, find a CA to issue a certificate that<br>


includes all the domains in the Subject Alt Name. So the end entity<br>


certificate issued would have, say, 10 or 12 different domains so the<br>


same cert can be used for all the connections.<br>


<br>


Google serves a cert like that for 'google.com', but they own all the<br>


web properties.<br>


<br>


$ openssl s_client -connect google.com:443 -servername google.com |<br>


openssl x509 -text -noout<br>


<br>


...<br>


               DNS:*.google.com, DNS:*.appengine.google.com, DNS:*.bdn.dev, DNS<br>


:*.origin-test.bdn.dev, DNS:*.cloud.google.com, DNS:*.crowdsource.google.com, DN<br>


S:*.datacompute.google.com, DNS:*.google.ca, DNS:*.google.cl, DNS:*.google.co.in<br>


, DNS:*.google.co.jp, DNS:*.google.co.uk, DNS:*.google.com.ar, DNS:*.google.com.<br>


au, DNS:*.google.com.br, DNS:*.google.com.co, DNS:*.google.com.mx, DNS:*.google.<br>


com.tr, DNS:*.google.com.vn, DNS:*.google.de, DNS:*.google.es, DNS:*.google.fr,<br>


DNS:*.google.hu, DNS:*.google.it, DNS:*.google.nl, DNS:*.google.pl, DNS:*.google<br>


.pt, DNS:*.googleapis.cn, DNS:*.googlevideo.com, DNS:*.gstatic.cn, DNS:*.gstatic<br>


-cn.com, DNS:googlecnapps.cn, DNS:*.googlecnapps.cn, DNS:googleapps-cn.com, DNS:<br>


*.googleapps-cn.com, DNS:gkecnapps.cn, DNS:*.gkecnapps.cn, DNS:googledownloads.c<br>


n, DNS:*.googledownloads.cn, DNS:recaptcha.net.cn, DNS:*.recaptcha.net.cn, DNS:r<br>


ecaptcha-cn.net, DNS:*.recaptcha-cn.net, DNS:widevine.cn, DNS:*.widevine.cn, DNS<br>


:ampproject.org.cn, DNS:*.ampproject.org.cn, DNS:ampproject.net.cn, DNS:*.amppro<br>


ject.net.cn, DNS:google-analytics-cn.com, DNS:*.google-analytics-cn.com, DNS:goo<br>


gleadservices-cn.com, DNS:*.googleadservices-cn.com, DNS:googlevads-cn.com, DNS:<br>


*.googlevads-cn.com, DNS:googleapis-cn.com, DNS:*.googleapis-cn.com, DNS:googleo<br>


ptimize-cn.com, DNS:*.googleoptimize-cn.com, DNS:doubleclick-cn.net, DNS:*.doubl<br>


eclick-cn.net, DNS:*.fls.doubleclick-cn.net, DNS:*.g.doubleclick-cn.net, DNS:dou<br>


bleclick.cn, DNS:*.doubleclick.cn, DNS:*.fls.doubleclick.cn, DNS:*.g.doubleclick<br>


.cn, DNS:dartsearch-cn.net, DNS:*.dartsearch-cn.net, DNS:googletraveladservices-<br>


cn.com, DNS:*.googletraveladservices-cn.com, DNS:googletagservices-cn.com, DNS:*<br>


.googletagservices-cn.com, DNS:googletagmanager-cn.com, DNS:*.googletagmanager-c<br>


n.com, DNS:googlesyndication-cn.com, DNS:*.googlesyndication-cn.com, DNS:*.safef<br>


rame.googlesyndication-cn.com, DNS:app-measurement-cn.com, DNS:*.app-measurement<br>


-cn.com, DNS:gvt1-cn.com, DNS:*.gvt1-cn.com, DNS:gvt2-cn.com, DNS:*.gvt2-cn.com,<br>


DNS:2mdn-cn.net, DNS:*.2mdn-cn.net, DNS:googleflights-cn.net, DNS:*.googlefligh<br>


ts-cn.net, DNS:admob-cn.com, DNS:*.admob-cn.com, DNS:googlesandbox-cn.com, DNS:*<br>


.googlesandbox-cn.com, DNS:*.safenup.googlesandbox-cn.com, DNS:*.gstatic.com, DN<br>


S:*.metric.gstatic.com, DNS:*.gvt1.com, DNS:*.gcpcdn.gvt1.com, DNS:*.gvt2.com, D<br>


NS:*.gcp.gvt2.com, DNS:*.url.google.com, DNS:*.youtube-nocookie.com, DNS:*.ytimg<br>


.com, DNS:android.com, DNS:*.android.com, DNS:*.flash.android.com, DNS:g.cn, DNS<br>


:*.g.cn, DNS:g.co, DNS:*.g.co, DNS:goo.gl, DNS:www.goo.gl, DNS:google-analytics.<br>


com, DNS:*.google-analytics.com, DNS:google.com, DNS:googlecommerce.com, DNS:*.g<br>


ooglecommerce.com, DNS:ggpht.cn, DNS:*.ggpht.cn, DNS:urchin.com, DNS:*.urchin.co<br>


m, DNS:youtu.be, DNS:youtube.com, DNS:*.youtube.com, DNS:youtubeeducation.com, D<br>


NS:*.youtubeeducation.com, DNS:youtubekids.com, DNS:*.youtubekids.com, DNS:yt.be<br>


, DNS:*.yt.be, DNS:android.clients.google.com, DNS:developer.android.google.cn,<br>


DNS:developers.android.google.cn, DNS:source.android.google.cn, DNS:developer.ch<br>


rome.google.cn, DNS:web.developers.google.cn<br>


...<br>


<br>


Jeff<br>


</div>


</span></font>


</body>


</html>