17.12.2015 17:38, Maxim Dounin пишет:
> Hello!
>
> On Thu, Dec 17, 2015 at 05:24:51PM +0300, denis wrote:
>
>> Можно в доках более явно указать, что для отключения sslv3 мало прописанного
>> в домене ssl_protocols TLSv1..., ему надо повторить это же в секцию http.
>> Были сильно удивлены таким поведением. А что делать, если одному сайту нужен
>> ссл, а всем оставшимся нет?
>> Или это бага?
>> 1.8.0, центос 6.7, ваша репа (суффикс ngx)
> Чтобы отключить SSLv3, его надо отключить в сервере по умолчанию
> для конкретного listen-сокета. В виртуальном сервере этого
> сделать нельзя, т.к. в момент установления SSL-соединения не
> известно, к какому виртуальному серверу будет HTTP-запрос.
>
Идея понятна, но в доках такого не увидел. Может просто плохо
смотрел?... А момент действительно сложный. Ещё отладка усложняется
отсутствием вывода а-ля apachectl -S, кто где дефолтный и какие там
опции. И до кучи получаем радость, если добавим ещё домен на той же
паре, и при этом нет listen ... default - и он станет новым дефолтом. Вы
не представляете сколько такая подстава может выпить крови.
Имхо, нужно жирно отметить в доках, что указывать надо именно в хттп
секции, а если нужен иной список - описывать отдельный location с
отдельной парой адрес-порт и явно заданным дефолтом. Хотя мы быстро
поняли что не так, всего 3 часа ушло.

"Использовать для них разные наборы адрес-порт."
Так и сделали.

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru