вт, 25 окт. 2022 г. в 09:47, Gena Makhomed <g...@csdoc.com>: > On 25.10.2022 7:28, Maxim Dounin wrote: > > >> > https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600 > > > Полной конфигурации там не приведено, так что остаётся только > > гадать, но судя по всему это очередной пользователь, который > > пытается задавать разные ssl_protocols в name-based виртуальных > > серверах. Так работать не будет, потому что OpenSSL фиксирует > > протокол раньше, чем становится известно имя. При этом в разных > > IP-based (или port-based) виртуальных серверах вполне можно > > использовать различные ssl_protocols. > > Понятно, спасибо. > > Может быть имеет смысл научить nginx, чтобы он выдавал варнинг > в момент чтения конфигурации, если пользователь будет пытаться > задавать разные ssl_protocols в name-based виртуальных серверах? >
это наверное критикал. т.е. человек делает конфиг, который в силу свойств openssl работать будет не так, как описано пользователем, а наоборот про подобное поведение знаем, сталкивались. больно в теории, я конечно, понимаю, что клиент может пихнуть днс в SNI. и уже в ответ на SNI сервер может предложить те или иные протоколы, вопрос к OpenSSL > > Или вообще, просто если встречается директива "ssl_protocols" > и "ssl_conf_command" in non-default server{} blocks, > even if SNI is used. > > Это же достаточно просто запрограммировать ведь. > Это снимет большое количество глупых вопросов от пользователей. > > > Писать всего этого на гитхабе я, конечно, не буду, но приведённой > > выше ссылки на документацию должно хватить даже без каких-либо > > пояснений. > > Ясно, спасибо, что ответили в список рассылки. С помощью > google translate я перевел часть Вашего ответа > и опубликовал его на гитхабе: > > > https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597 > > -- > Best regards, > Gena > > _______________________________________________ > nginx-ru mailing list -- nginx-ru@nginx.org > To unsubscribe send an email to nginx-ru-le...@nginx.org >
_______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org