Welcome! Log In Create A New Profile

Advanced

Re: ssl_early_data для TLS1.2 ?

Maxim Dounin
July 06, 2019 02:10PM
Hello!

On Thu, Jul 04, 2019 at 12:09:22AM +0500, Илья Шипицин wrote:

> привет!
>
> в конфиге на уровне http указано "ssl_early_data on;"
>
> в сервере, в котором нужен TLS1.2 (не задан TLS1.3) не задан никак
> ssl_early_data.
> судя по debug-логу - наследуется от уровня http, и пытается найти в пакетах
> early data.
>
> по спецификации, на TLS1.2 такого не должно быть.
>
> может проверять наличие TLS1.3 для включения этой опции (даже
> унаследованной от более высоких уровней) ?

Чтобы что? В случае, если соединение использует TLSv1.2 -
соединение уйдёт в обычное чтение, как только OpenSSL нам об этом
скажет. Дублировать знание о том, где именно бывает early data, а
где не бывает, в самом nginx'е - выглядит как ненужное усложнение.

Правильнее всего это место сделано в BoringSSL - там вообще один
интерфейс для чтения, и если чтение early data включено - то этот
интерфейс он просто возвращает 0-rtt-данные в случае их наличия.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ssl_early_data для TLS1.2 ?

Илья Шипицин July 03, 2019 03:10PM

Re: ssl_early_data для TLS1.2 ?

Maxim Dounin July 06, 2019 02:10PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 113
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready