Hello!

On Wed, Sep 25, 2013 at 12:36:40AM +0300, Alex Domoradov wrote:

> Понятно, а будут ли какие то негативные последствия, если я знаю, что
> необхходимая глубина 1, но выставлю знаениче 2 или 3. Это создаст
> лишнюю нагрузку или проверка в таком случае вообще не будет проходить?

Директива ssl_verify_depth задаёт максимальную глубину, дальше
которой проверка делаться не будет. Так что в нормальном случае
проверки валидного сертификата, проверка которого ранее проходила, -
ничего не изменится. Меняются только аспекты, относящиеся к
более "глубоким" проверкам:

1. Промежуточные CA начинают работать. И если вдруг есть
выпущенные промежуточные CA - то надо понимать, что выпущенные ими
клиентские сертификаты тоже начнут работать. Даже если никаких
промежуточных сертификатов в nginx не добавлено - ибо в рамках
протокола у клиента имеется возможность самостоятельно прислать
промежуточные CA.

2. Возрастает количество проверок подписей, которое "нехороший"
клиент может заставить сделать сервер за одно соединение. Это
следует учитывать с точки зрения защиты от возможного DoS'а.

--
Maxim Dounin
http://nginx.org/en/donation.html

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru