Welcome! Log In Create A New Profile

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Forum List Message List New Topic Print View

Илья Шипицин

October 25, 2022 01:16AM

вт, 25 окт. 2022 г. в 09:47, Gena Makhomed <gmm@csdoc.com>:

> On 25.10.2022 7:28, Maxim Dounin wrote:
>
> >>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
>
> > Полной конфигурации там не приведено, так что остаётся только
> > гадать, но судя по всему это очередной пользователь, который
> > пытается задавать разные ssl_protocols в name-based виртуальных
> > серверах. Так работать не будет, потому что OpenSSL фиксирует
> > протокол раньше, чем становится известно имя. При этом в разных
> > IP-based (или port-based) виртуальных серверах вполне можно
> > использовать различные ssl_protocols.
>
> Понятно, спасибо.
>
> Может быть имеет смысл научить nginx, чтобы он выдавал варнинг
> в момент чтения конфигурации, если пользователь будет пытаться
> задавать разные ssl_protocols в name-based виртуальных серверах?
>

это наверное критикал. т.е. человек делает конфиг, который в силу свойств
openssl работать будет
не так, как описано пользователем, а наоборот

про подобное поведение знаем, сталкивались. больно

в теории, я конечно, понимаю, что клиент может пихнуть днс в SNI. и уже
в ответ на SNI сервер может предложить те или иные протоколы, вопрос к
OpenSSL

>
> Или вообще, просто если встречается директива "ssl_protocols"
> и "ssl_conf_command" in non-default server{} blocks,
> even if SNI is used.
>
> Это же достаточно просто запрограммировать ведь.
> Это снимет большое количество глупых вопросов от пользователей.
>
> > Писать всего этого на гитхабе я, конечно, не буду, но приведённой
> > выше ссылки на документацию должно хватить даже без каких-либо
> > пояснений.
>
> Ясно, спасибо, что ответили в список рассылки. С помощью
> google translate я перевел часть Вашего ответа
> и опубликовал его на гитхабе:
>
>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597
>
> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-leave@nginx.org
>
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org

Reply Quote

RSS

Subject	Author	Posted
ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Gena Makhomed	October 24, 2022 11:44PM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Maxim Dounin	October 25, 2022 12:30AM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Gena Makhomed	October 25, 2022 12:48AM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Илья Шипицин	October 25, 2022 01:16AM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Gena Makhomed	October 25, 2022 02:22AM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Илья Шипицин	October 25, 2022 03:12AM
Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?	Maxim Dounin	October 25, 2022 11:14AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 298

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018