Maxim Dounin
April 28, 2014 08:32AM
Hello!

On Sat, Apr 26, 2014 at 11:41:12AM +0700, Vadim A. Misbakh-Soloviov wrote:

> В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал:
> > On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote:
> > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не
> > > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один?
> >
> > Значение по умолчанию предполагает, что сертификаты подписаны
> > непосредственно теми root CA, которые указаны как доверенные.
> > Если длина цепочки не очевидна - то можно поставить, например, 9
> > (именно такое значение OpenSSL использует по умолчанию).
>
> Мне больше интересно про "поставить 0" (будет ли подразумеваться не проверять
> CA или будет какой-то side-effect (проверять, конечно же, лень :D)

Если поставить 0, то проверку будут проходить только
самоподписанные сертификаты. Подробное описание можно почерпнуть
из man SSL_CTX_set_verify_depth:

SSL_CTX_set_verify_depth() and SSL_set_verify_depth() set the limit up
to which depth certificates in a chain are used during the verification
procedure. If the certificate chain is longer than allowed, the
certificates above the limit are ignored. Error messages are generated
as if these certificates would not be present, most likely a
X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY will be issued. The depth
count is "level 0:peer certificate", "level 1: CA certificate", "level
2: higher level CA certificate", and so on. Setting the maximum depth
to 2 allows the levels 0, 1, and 2. The default depth limit is 9,
allowing for the peer certificate and additional 9 CA certificates.

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

nginx-1.7.0

Maxim Dounin April 24, 2014 09:16AM

Re: nginx-1.7.0

mva April 24, 2014 10:36PM

Re: nginx-1.7.0

Homutov Vladimir April 25, 2014 12:48AM

Re: nginx-1.7.0

Dmitry April 25, 2014 04:14AM

Re: nginx-1.7.0

Maxim Dounin April 25, 2014 07:46AM

Re: nginx-1.7.0

mva April 26, 2014 12:42AM

Re: nginx-1.7.0

Maxim Dounin April 28, 2014 08:32AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 152
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready