ср, 22 апр. 2020 г. в 12:51, Evgeniy Berdnikov <bgx@protva.ru>:

> On Wed, Apr 22, 2020 at 12:39:33PM +0500, Илья Шипицин wrote:
> > но вы понимаете, что речь идет о stream-проксировании, т.е. вы просто
> tcp
> > поток отправляете на тот или иной бекенд и терминация SSL будет уже на
> > бекенде?
>
> Nginx это не софтовый L4-роутер: чтобы разобрать ClientHello
> и обработать ciphersuites ему нужно терминировать SSL.
>

есть технология, в haproxy называется SNI based routing, когда из
SSL-хендшейков извлекается SNI (если он нешифрованный), и далее стрим без
терминации роутится.
в nginx это делается на ngx_stream_ssl_preread


в SSL только пейлод шифрованный. сигнализация вся открытая и доступна без
терминации


> --
> Eugene Berdnikov
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru