<div dir="ltr"><div>SSL session tickets are not good enough b/c they don't support modern cipher modes (like GCM) and they don't work with PFS.<br><br>Is it generally possible to implement session lookup in non-blocking way in this case?<br>
</div><div>If yes - is there any good example of OpenSSL's non-blocking callbacks?<br><br></div><div>P.S. As an alternative (and I don't like this idea) - we can distribute sessions to nginx cache via custom-written module, something like it's done in stud.<br>
<br></div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Sep 14, 2013 at 11:06 PM, Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div><div class="h5"><br>
On Sat, Sep 14, 2013 at 02:49:49PM +0400, kyprizel wrote:<br>
<br>
> Hi,<br>
> I'm thinking on design of patch for adding distributed SSL session cache<br>
> and have a question -<br>
> is it  possible and ok to create keepalive upstream to some storage<br>
> (memcached/redis/etc), then use it from<br>
> ngx_ssl_new_session/ngx_ssl_get_cached_session ?<br>
<br>
</div></div>As far as I remember, OpenSSL doesn't provide a non-blocking<br>
interface to session lookup (I've just did a quick look though<br>
code, and it seems I remeber it right).  This basically ruins the<br>
the idea unless you are brave enough to implement needed<br>
interfaces in OpenSSL.<br>
<br>
I would rather focus on a support for SSL session tickets shared<br>
between multiple servers.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/en/donation.html" target="_blank">http://nginx.org/en/donation.html</a><br>
<br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div>