Hello!

On Thu, Dec 18, 2014 at 08:12:00PM +0300, Anton Yuzhaninov wrote:

> On 12/18/14 17:13, Maxim Dounin wrote:
> >В теории, такое может происходить и случайно - т.к. fallback
> >может случиться просто от того, что не удалось установить
> >соединение с первого раза.
>
> Да, похоже так оно и происходит. Посмотрел дампы трафика - в них хендшейк
> обрывается по таймауту и следующая попытка идёт с TLS_FALLBACK_SCSV.
>
> Но в дампе трафика встречаются Ecnripted Alert с TLS1.2 в то время как в
> логах кроме inappropriate fallback ошибок не видно. В случае inappropriate
> fallback версия должны быть меньше чем 1.2.

Ошибки логгируются на разных уровнях в зависимости от собственно
ошибки. Inappropriate fallback ты можешь видеть просто потому,
что они логгируются на уровне crit в старых версиях, т.к. nginx их
не ожидает увидеть.

> Было бы проще сравнивать лог nginx и дамп трафика, если в бы в error_log
> вместе с IP писался клиентский порт. Это сложно сделать?

Где-нибудь в ngx_http_log_error() следом за addr_text выводить,
разобрав c->sockaddr. Пример кода можно посмотреть в
ngx_http_variable_remote_port().

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru