Hello!

On Mon, Sep 26, 2022 at 06:48:16PM -0400, oradba25 wrote:

> Добрый день
>
> В документации есть фраза, что "Начиная с версии 1.11.0 эта директива
> [ssl_certificate] может быть указана несколько раз для загрузки сертификатов
> разных типов, например RSA и ECDSA"
>
> Вопрос -- можно ли использовать при этом цепочки разных ЦА, например
> GlobalSign и МинЦифры
>
> Для чего, понятно, в связи с текущими событиями плавно перейти на Российские
> сертификаты
>
> Или это можно сделать каким-либо другим способом не дублируя конфигурацию в
> разных виртуальных серверах?

Выбор между RSA- и ECDSA-сертификатами делается на основе
поддерживаемых клиентом шифронаборов: если для соединения будет
выбран шифронабор с аутентификацией через ECDSA, то будет
использован ECDSA-сертификат, а если с аутентификацией через RSA -
то RSA-сертификат. При этом сертификаты предполагаются
одинаковыми с точки зрения доверия клиентов.

Для выбора между "российскими сертификатами" и нормальными на
сервере нужно знать, примет ли клиент "российский сертификат", или
же доверяет только тем корневым CA, наличия которых можно ожидать
в стандартных браузерах. Такой информации в рамках установления
SSL-соединения на сервере просто нет. Соответственно выбор придётся
делать на основе отдельного имени сервера, если вы хотите выбор.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org