Welcome! Log In Create A New Profile

Advanced

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Maxim Dounin
October 25, 2022 12:30AM
Hello!

On Tue, Oct 25, 2022 at 06:41:56AM +0300, Gena Makhomed wrote:

> У некоторых пользователей nginx возникли затруднения:
>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
>
> Только не понятно, это ошибка в самом nginx или ошибка в документации к
> nginx.
>
> Максим, можете ответить этому пользователю на github, в чем там дело?
> У меня английский такой, что пишу с ошибками, кроме того, я не уверен,
> что сам правильно понимаю, в чем именно состоит проблема этого пользователя.

Полной конфигурации там не приведено, так что остаётся только
гадать, но судя по всему это очередной пользователь, который
пытается задавать разные ssl_protocols в name-based виртуальных
серверах. Так работать не будет, потому что OpenSSL фиксирует
протокол раньше, чем становится известно имя. При этом в разных
IP-based (или port-based) виртуальных серверах вполне можно
использовать различные ssl_protocols.

Подробнее об этом есть тут:

https://trac.nginx.org/nginx/ticket/676
https://mailman.nginx.org/pipermail/nginx/2014-November/045738.html

Этот и другие нюансы применения конфигурации для name-based
виртуальных серверов документированы тут:

http://nginx.org/en/docs/http/server_names.html#virtual_server_selection

Что до TLSv1.3 Ciphersuites, то их OpenSSL, судя по всему, тоже
выбирает сразу при установлении соединения, и соответственно
задавать их в name-based виртуальных серверах бессмысленно, надо
задавать в сервере по умолчанию. Это, впрочем, уже вообще не про
nginx, если человек лезет в настройки OpenSSL напрямую, минуя
nginx, он сам кузнец своего счастья.

Писать всего этого на гитхабе я, конечно, не буду, но приведённой
выше ссылки на документацию должно хватить даже без каких-либо
пояснений.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org
Subject Author Posted

ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 24, 2022 11:44PM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Maxim Dounin October 25, 2022 12:30AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 25, 2022 12:48AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин October 25, 2022 01:16AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 25, 2022 02:22AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин October 25, 2022 03:12AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Maxim Dounin October 25, 2022 11:14AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 61
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready