Почему AWS API Gateway требует SNI?

Question

Вопрос

1. Существует ли конкретная c причина, по которой API-шлюз требует, чтобы клиент HTTP / S поддерживал SNI?
2. В каком AWS документе четко указано требование SNI ?

О вопросе 2

Я полагаю, что SNI является расширением TLS, и TLS версии 1.2 не требует поддержки SNI, поскольку я изучал RF C. TLS 1.3 требует его как обязательного, но выглядит AWS Шлюз API еще не принял 1.3 согласно документу AWS Поддерживаемые протоколы и шифры SSL / TLS для региональных, частных и API-интерфейсов WebSocket Конечные точки в API Gateway .

Следовательно, я полагаю, что принудительное выполнение SNI, если AWS API Gateway на самом деле делает это, кажется AWS конкретным c требованием или ограничением, которое должно быть четко отмечено, но до сих пор я не смог найти документацию AWS с указанием таковой.

Следовательно, я считаю, что должна быть документация AWS, в которой говорится ниже, но, пожалуйста, исправьте, если неправильно.

• HTTP / S-клиент для использования API-шлюза должен поддерживать SNI
• Для SNI-неподдерживаемого HTTP / S-клиента используйте CloudFront (или другие способы, если они доступны) и не переадресуйте заголовок HOST.

Ссылки

• Невозможно вызвать AWS API-шлюз GET URL с GPRS-соединением

  Шлюзу API требуется соединение https с клиент, который поддержка индикатора имени сервера (SNI)

• Как добавить CloudFront перед API Gateway

  Вы действительно можете если поставить CF dist перед APIG, уловка заключается в том, чтобы заставить HTTPS использовать только «Политику протокола просмотра» и НЕ пересылать заголовок HOST, поскольку APIG требуется SNI.

Answer 1

Насколько я знаю, SNI не требуется для шлюза API, это вариант конфигурации, но не требование.

Документация, которую я когда-то использовал Чтобы понять аналогичный сценарий, ясно говорится, что SNI является опцией, но выделенный IP-адрес может использоваться для поддержки пользователей, которые не могут использовать современный клиент TLS (браузер), который поддерживает SNI.

Индикация имени сервера (SNI) - это один из способов связать запрос с доменом. Другой способ - использовать выделенный IP-адрес. Если у вас есть пользователи, которые не могут выполнить обновление до браузера или клиента, выпущенного после 2010 года, вы можете использовать выделенный IP-адрес для обслуживания запросов HTTPS.

По вашему вопросу я предполагаю, что ваш API-шлюз настроен использовать SNI с CloudFront, поскольку, как также описано в следующей документации API-шлюза :

API-шлюз поддерживает оптимизированных по краю пользовательских доменных имен с использованием сервера Указание имени (SNI) в распределении CloudFront.