Welcome! Log In Create A New Profile

Advanced

ssl_early_data

Gena Makhomed
April 24, 2021 03:16PM
Здравствуйте,
All!

Есть в nginx директива ssl_early_data, но как я
понял из документации,
чтобы ее можно
было безопасно включить - необходимо сделать защиту
от replay attacks.

В документации предлагается делать ее на бекенде,
с помощью заголовка proxy_set_header Early-Data $ssl_early_data;

Можно ли настроить сам nginx таким способом, чтобы он нормально
пропускал на бекенд безопасные запросы GET, HEAD, OPTIONS, TRACE
в том случае когда $ssl_early_data установлена в 1 и чтобы
он возвращал
клиенту 425 (Too Early) status code в том случае, если запрос имеет
не безопасный
метод POST, PUT, DELETE, PATCH и $ssl_early_data; равно 1.

Идеально, если
это будет встроенная в nginx функциональность,
например, с помощью директивы ssl_early_data_protection.

Syntax: ssl_early_data on | off;
Default: ssl_early_data off;
Context: http, server

Syntax: ssl_early_data_protection on | off;
Default: ssl_early_data_protection off;
Context: http, server

Не все бекенды
понимают заголовок Early-Data,
а ssl_early_data on; было бы полезно включить,
для ускорения
работы сайта.

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ssl_early_data

Gena Makhomed April 24, 2021 03:16PM

Re: ssl_early_data

Maxim Dounin April 25, 2021 10:58AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 89
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready