On 02.09.2015 15:53, ekassir wrote:
> SNI включен, но не помогает.
Клиенты работающие по протоколу SSLv3 не поддерживают SNI.
Умеет клиент SNI или нет - можно посмотреть здесь:
https://www.ssllabs.com/ssltest/viewMyClient.html
https://www.ssllabs.com/ssltest/clients.html
> А вот открытие различных сокетов - решение,
> но в таком случает придётся как-то разделять
> на периметре сайты для разных протоколов.
> Опять же либо по разным внешним IP
До того как появилось SNI - это был вообще единственный вариант.
Да и сейчас, это единственный гарантированно работающий вариант.
Есть еще один вариант - можно в конфиге проверять $ssl_protocol
и если это сайт высокой степени надежности - закрывать соединение
или показывать явное сообщение про ошибку, если к нему обратились
по более низкой версии протокола, по которой он работать не должен.
Тогда - у части серверов будет разрешен протокол SSLv3 и TLS1.0,
а у всех остальных - только старшие протоколы TLSv1.1 и TLSv1.2.
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
