It would be great if these patches were merged upstream!<span></span><br><br>On Sunday, 21 February 2016, ToSHiC <<a href="mailto:toshic.toshic@gmail.com">toshic.toshic@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>We are using patches from here: <a href="https://github.com/wikimedia/operations-software-nginx/tree/wmf-1.9.2-1/debian/patches" target="_blank">https://github.com/wikimedia/operations-software-nginx/tree/wmf-1.9.2-1/debian/patches</a> in production since 20th of December 2015.</div><div><br></div><div>We've made 2 certificates: EC+SHA2 signature for new browsers and RSA+SHA1 signature for old ones. We assume that all browsers that supports EC certs does support SHA2 certs signature. Monitoring of bad SSL connections from nginx' error.log shows no additional errors so we think our assumption is correct. Certificate election mechanism is based on cipher suites from ClientHello and unfortunately there is no certificate signature type in cypher suite string.</div><div><br></div><div>If you'll try to make the same configuration you need to force server cipher suites over clients, and carefully place ECDSA before RSA. To check if everything works fine use openssl s_client utility with -cipher options. RSA should be enabled only if ECDSA is not present in client ciphers.</div><div><br></div><div>To monitor proper certificate usage in production we use ssl_cipher variable. Additioanlly we've added variable with currently used server certificate serial number, just to be sure. Our logs shows that in December ~20-25% of clients have used RSA certificate in our configuration.</div><div><br></div><div>Please feel free to contact me if you have any questions.</div><div><br></div><div>Regards,</div><div>Anton Kortunov.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Feb 21, 2016 at 1:58 PM, Jonathan Horn <span dir="ltr"><<a href="javascript:_e(%7B%7D,'cvml','jonathan@autoit4you.de');" target="_blank">jonathan@autoit4you.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
<br>
I wanted to know what the current status is to get dual certificate<br>
support into nginx.<br>
<br>
I saw that there have been some patches in March and April last year,<br>
but with no indication why the final version in April hasn't been merged.<br>
<br>
Is there any work currently done on bringing this into nginx? Or is some<br>
other feature development currently blocking this? Is there something<br>
else that I can help with to get that support into nginx?<br>
<br>
Jonathan Horn<br>
<br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','nginx-devel@nginx.org');" target="_blank">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</blockquote></div><br></div>
</blockquote>