Re: Поддержка клиентских SSL-сертификатов в модуле proxy

Alexey Morozov morozov_ml на ngs.ru
Ср Дек 8 06:55:41 MSK 2010


В сообщении от 8 декабря 2010 03:15:54 автор Maxim Dounin написал:
> Hello!
> 
> Вот это:
> 
> +    // right now we have no proper infrastructure to check server
> certificates +    // so we force the info_callback to be NULL
> +    SSL_CTX_set_info_callback(plcf->upstream.ssl->ctx, NULL);
> 
> выглядит совершенно некорректно.  Info callback используется в
> nginx'е ровно для одной цели: запретить renegotiation.  Если
> хочется renegotiation при общении с бекендом разрешить - это надо
> делать по другому.  При чём тут проверка сертификатов сервера -
> вообще непонятно (хотя её тоже неплохо бы сделать).

Ну, это мы не до конца разобрались, если честно.

> 
> Перенос ngx_http_proxy_set_ssl() некорректен.  Т.к. он после патча
> зависит от наследуемых значений (ssl_protocols, ...) - то вызывать
> его можно только после того, как соответствующие значения
> отнаследовались.
Ok, поменяем.


> Ну и style problems в количествах.
Ох, я, вроде, контролировал, чтобы их не было, но если есть - поправим, 
конечно. Официальный стайлгайд есть где-нибудь?

> p.s. Настоятельно рекомендую патчи присылать в рассылку.  Ходить
> по ссылкам и выискивать где именно закопаны нужные патчи - это не
> совсем то, чем люди предпочитают заниматься на досуге.
Ну, я, конечно, оформлю это в виде патчей, если разглядывать отдельные патчи 
удобнее, чем их же, но в составе дерева изменений. Однако, для интересующихся, 
мы продолжим публиковать репозиторий.

С уважением,
Алексей Морозов.





Подробная информация о списке рассылки nginx-ru