Welcome! Log In Create A New Profile

Advanced

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed
September 01, 2015 01:18PM
On 01.09.2015 17:08, ekassir wrote:

> Нужна была доступность протокола TLS 1.0, который используется приложениями,
> совместимость с которыми нужно было обеспечить.

> В итоге, пришлось для всего списка сайтой прописать TLS 1.0,
> чтобы он начал поддерживаться на нужном hostname.

> Кто знает, это бага или фича? Как обойти?

Директива ssl_protocols, хоть и указывается в контексте server`а,
на самом деле является свойством listen socket`а, а не server`а.

Потому что клиент сначала устанавливает TLS соединение с сервером,
а только после этого присылает HTTP-запрос в котором указано имя хоста.

Обойти можно просто, сделав различные listen socket`ы
с разными настройками, так чтобы они отличались
или номером порта или IP адресом. Например:

server {
listen 11.11.11.11:443 ssl;
ssl_protocols SSLv3;

}

server {
listen 22.22.22.22:443 ssl;
ssl_protocols TLSv1.1 TLSv1.2;

}

Есть необязательное расширение TLS протокола - Server Name Indication
https://tools.ietf.org/html/rfc6066#section-3

Но нюанс в том, что server_name там присылается
в не-защищенном виде как ClientHello extension,
И это имя ведь может не совпадать с имемен хоста,
который потом будет прислан по зашифрованному HTTP-протоколу.

https://idea.popcount.org/2012-06-16-dissecting-ssl-handshake/

Кроме того, Server Name Indication extension может и не быть.

> Есть идеи, как дебажить?

http://nginx.org/en/docs/debugging_log.html

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 05:41AM

Re: Не применятеся список разрешённых протоколов SSL.

ALex_hha September 01, 2015 05:58AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 06:19AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 06:55AM

Re: Не применятеся список разрешённых протоколов SSL.

ALex_hha September 01, 2015 07:10AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 07:21AM

Re: Не применятеся список разрешённых протоколов SSL.

Pavel Mihaduk September 01, 2015 08:06AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 10:08AM

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed September 01, 2015 08:22AM

Re: Не применятеся список разрешённых протоколов SSL.

ALex_hha September 01, 2015 08:38AM

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed September 01, 2015 09:34AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 01, 2015 10:08AM

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed September 01, 2015 01:18PM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 02, 2015 08:53AM

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed September 02, 2015 11:30AM

Re: Не применятеся список разрешённых протоколов SSL.

Gena Makhomed September 02, 2015 11:38AM

Re: Не применятеся список разрешённых протоколов SSL.

ex September 02, 2015 08:27AM

Re: Не применятеся список разрешённых протоколов SSL.

ekassir September 02, 2015 08:49AM

Re: Не применятеся список разрешённых протоколов SSL.

ex September 02, 2015 09:28AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 105
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready