Welcome! Log In Create A New Profile

Advanced

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин
October 25, 2022 01:16AM
вт, 25 окт. 2022 г. в 09:47, Gena Makhomed <gmm@csdoc.com>:

> On 25.10.2022 7:28, Maxim Dounin wrote:
>
> >>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
>
> > Полной конфигурации там не приведено, так что остаётся только
> > гадать, но судя по всему это очередной пользователь, который
> > пытается задавать разные ssl_protocols в name-based виртуальных
> > серверах. Так работать не будет, потому что OpenSSL фиксирует
> > протокол раньше, чем становится известно имя. При этом в разных
> > IP-based (или port-based) виртуальных серверах вполне можно
> > использовать различные ssl_protocols.
>
> Понятно, спасибо.
>
> Может быть имеет смысл научить nginx, чтобы он выдавал варнинг
> в момент чтения конфигурации, если пользователь будет пытаться
> задавать разные ssl_protocols в name-based виртуальных серверах?
>

это наверное критикал. т.е. человек делает конфиг, который в силу свойств
openssl работать будет
не так, как описано пользователем, а наоборот

про подобное поведение знаем, сталкивались. больно

в теории, я конечно, понимаю, что клиент может пихнуть днс в SNI. и уже
в ответ на SNI сервер может предложить те или иные протоколы, вопрос к
OpenSSL


>
> Или вообще, просто если встречается директива "ssl_protocols"
> и "ssl_conf_command" in non-default server{} blocks,
> even if SNI is used.
>
> Это же достаточно просто запрограммировать ведь.
> Это снимет большое количество глупых вопросов от пользователей.
>
> > Писать всего этого на гитхабе я, конечно, не буду, но приведённой
> > выше ссылки на документацию должно хватить даже без каких-либо
> > пояснений.
>
> Ясно, спасибо, что ответили в список рассылки. С помощью
> google translate я перевел часть Вашего ответа
> и опубликовал его на гитхабе:
>
>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597
>
> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-leave@nginx.org
>
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org
Subject Author Posted

ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 24, 2022 11:44PM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Maxim Dounin October 25, 2022 12:30AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 25, 2022 12:48AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин October 25, 2022 01:16AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed October 25, 2022 02:22AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин October 25, 2022 03:12AM

Re: ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Maxim Dounin October 25, 2022 11:14AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 320
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready