Welcome! Log In Create A New Profile

Advanced

Re: proxy_ssl_server_name

Maxim Dounin
June 29, 2020 11:02AM
Hello!

On Sun, Jun 28, 2020 at 09:46:14PM +0300, Gena Makhomed wrote:

> Максим, а зачем по-умолчанию сделано proxy_ssl_server_name off; ?

На то есть две причины:

1. Исторически nginx не умел SNI в соединениях с бэкендами. Когда
поддержка была добавлена - поведение по умолчанию было оставлено
"как есть", дабы не ломать существующие конфигурации, где это
может оказаться важно.

2. Использование SNI означает передачу имени сервера открытым
текстом, что в общем случае - утечка данных. Если мы хотим
шифровать трафик с бэкендами - странно допускать подобную утечку
по умолчанию.

> Что-то сломается, если сделать по-умолчанию proxy_ssl_server_name on; ?

Скорее всего нет, но может.

> Применил на одном из серверов workaround
> https://trac.nginx.org/nginx/ticket/195#comment:6
>
> В результате - один из сервисов защиты от DDoS прислал уведомление,
> что сайт не работает, потому что у них, по всей видимости в конфиге
> все настроено по-умолчанию proxy_ssl_server_name off; и это стало
> причиной проблем. Подробнее об этом написано в том же 195 тикете:
> https://trac.nginx.org/nginx/ticket/195#comment:11

Если у вас среди клиентов есть те, кто не использует SNI - не надо
запрещать соединения без SNI. Описанное в тикете решение с
"ssl_ciphers aNULL;" совершенно не обязательно применять в сервере
по умолчанию, а если всё-таки применять - то стоит понимать
последствия.

Что до "сервисов защиты", то почему они не используют SNI - это
вопрос к ним, а не к настройкам по умолчанию nginx'а. Настройки
по умолчанию расчитаны на работу с собственными бэкендами, и если
там используется nginx - они так или иначе должны были много что
менять.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

proxy_ssl_server_name

Gena Makhomed June 28, 2020 02:48PM

Re: proxy_ssl_server_name

Maxim Dounin June 29, 2020 11:02AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 60
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready