Hello!

On Sat, Apr 26, 2014 at 11:41:12AM +0700, Vadim A. Misbakh-Soloviov wrote:

> В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал:
> > On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote:
> > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не
> > > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один?
> >
> > Значение по умолчанию предполагает, что сертификаты подписаны
> > непосредственно теми root CA, которые указаны как доверенные.
> > Если длина цепочки не очевидна - то можно поставить, например, 9
> > (именно такое значение OpenSSL использует по умолчанию).
>
> Мне больше интересно про "поставить 0" (будет ли подразумеваться не проверять
> CA или будет какой-то side-effect (проверять, конечно же, лень :D)

Если поставить 0, то проверку будут проходить только
самоподписанные сертификаты. Подробное описание можно почерпнуть
из man SSL_CTX_set_verify_depth:

SSL_CTX_set_verify_depth() and SSL_set_verify_depth() set the limit up
to which depth certificates in a chain are used during the verification
procedure. If the certificate chain is longer than allowed, the
certificates above the limit are ignored. Error messages are generated
as if these certificates would not be present, most likely a
X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY will be issued. The depth
count is "level 0:peer certificate", "level 1: CA certificate", "level
2: higher level CA certificate", and so on. Setting the maximum depth
to 2 allows the levels 0, 1, and 2. The default depth limit is 9,
allowing for the peer certificate and additional 9 CA certificates.

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru