nginx-0.7.62 и ssl

[Володимир Костирко]

Igor Sysoev написав(ла):
>>>> # nginx -t
>>>> [emerg]: SSL_CTX_set_tlsext_servername_callback() failed (SSL:)
>>>> configuration file /usr/local/etc/nginx/nginx.conf test failed
>>>>
>>>> Кусок конфига:
>>>>    ssl on;
>>>>    ssl_protocols SSLv3 TLSv1;
>>>>    ssl_prefer_server_ciphers on;
>>>>    ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
>>>>    ssl_certificate /var/ca/xim.bz/wiki,bugs.cert;
>>>>    ssl_certificate_key /var/ca/xim.bz/wiki,bugs.pk;
>>>>    ssl_session_cache shared:SSL:10m;
>>>>    ssl_session_timeout 10m;
>>>>
>>>> Срубается на строке ssl_certificate, сертификат с парой санов, сабжект 
>>>> тоже присутствует.
>>> Патч, после которого nginx будет только выдавать предупрждение.
>>>
>>> Какая OS, как ставился nginx - из бинарного пакета или собирался на этой
>>> же машине ?
>> FreeBSD 7.2-p3, порты, bundled ssl. Сертификат генерился им же.
>>
>> Вообще там немного странно, bundled ssl точно tlsext умеет, но не в том 
>> наборе в каком он появился в openssl. Рапортует он естественно более 
>> старую версию, а tlsext был воткнут в мир бэкпортом.
> 
> Значит, плохо забэкпортили.
> 
>> PS: Чуть не забыл, по-моему там как-раз для проверки сертификатов не 
>> хватало опции для указывания какой именно сан мы проверяем.
> 
> Что такое bundled ssl и сан ?

bundled ssl - тот который идёт в поставке с операционкой.
сан (Subject Alternate Name) - расширение сертификата позволяющие 
перечислить кроме Subject Name ещё несколько хостов.

> Проблема не в сертификате, проблема в том, что библиотека говорит,
> что tlsext она не знает. Начиная со следующей версии nginx будет
> просто предупреждать о проблеме, потому что она стала возникать
> достатончо часто, хотя сам SNI пока вроде широко не используется.

Кстати да, прошёлся по сорцам - библиотека действительно не объявляет 
необходимые макросы от tlsext в отличии от версии из портов. Пойду 
попинаю мейнтейнеров...

-- 
Sphinx of black quartz judge my vow.