<div dir="ltr">If we have multiple keyfiles - I like the idea of marking some key as default.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Oct 2, 2013 at 12:47 PM, Piotr Sikora <span dir="ltr"><<a href="mailto:piotr@cloudflare.com" target="_blank">piotr@cloudflare.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Maxim,<br>
<div class="im"><br>
> As previously noted, the patch description is wrong.  It also<br>
> make sense to add some description of the directive added.<br>
<br>
</div>Yeah, will do.<br>
<div class="im"><br>
> This makes the directive unavailable without any meaningfull<br>
> diagnostics if nginx was build with old OpenSSL, which isn't very<br>
> user-friendly.<br>
<br>
</div>I'll fix that, it makes sense to be a bit more user-friendly :)<br>
<div class="im"><br>
> But actually I doubt we at all need an explicit mark for default<br>
> key.  Just using first one for encryption would probably be good<br>
> enough.<br>
<br>
</div>I tend to think that being overly explicit isn't always a bad thing.<br>
In this particular case, users would need to know that the first key<br>
on the list is "active/default" while the rest of them is just old<br>
keys, which is an implementation detail and might not be obvious to<br>
everybody.<br>
<div class="im"><br>
> I also think it would be better to don't rely on an explicitly<br>
> written name, which will make automatic key rotation a pain - as<br>
> one will have to update both name in a configuration file and a<br>
> file with keys.   E.g. Apache uses a binary file with 48 bytes of<br>
> random data, which is much easier to generate and rotate if<br>
> needed.<br>
<br>
</div>The reason why I went with the key name in nginx.conf is because it<br>
allows users to use a naming scheme for the keys (ex. YYYYMMDDHH, if<br>
you rotate keys hourly, etc.) instead of random and meaningless names.<br>
<br>
Having said that, I don't mind pushing key name back to the file.<br>
<div class="im"><br>
> Not sure if this code should be here.  Other file operations are<br>
> handled in the ngx_event_openssl.c, and doing the same for session<br>
> tickets might be a good idea as well.  Especially if you'll<br>
> consider adding relevant directives to the mail module.<br>
<br>
</div>Sure, sounds reasonable.<br>
<br>
I'll send updated patch in a few days.<br>
<br>
Best regards,<br>
Piotr Sikora<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div>