ssl_early_data

Gena Makhomed gmm на csdoc.com
Сб Апр 24 19:15:36 UTC 2021


Здравствуйте, 
All!

Есть в nginx директива ssl_early_data, но как я 
понял из документации,
чтобы ее можно 
было безопасно включить - необходимо сделать защиту
от replay attacks.

В документации предлагается делать ее на бекенде,
с помощью заголовка proxy_set_header Early-Data $ssl_early_data;

Можно ли настроить сам nginx таким способом, чтобы он нормально
пропускал на бекенд безопасные запросы GET, HEAD, OPTIONS, TRACE
в том случае когда $ssl_early_data установлена в 1 и чтобы 
он возвращал
клиенту 425 (Too Early) status code в том случае, если запрос имеет
не безопасный 
метод POST, PUT, DELETE, PATCH и $ssl_early_data; равно 1.

Идеально, если 
это будет встроенная в nginx функциональность,
например, с помощью директивы ssl_early_data_protection.

Syntax:	 ssl_early_data on | off;
Default: ssl_early_data off;
Context: http, server

Syntax:	 ssl_early_data_protection on | off;
Default: ssl_early_data_protection off;
Context: http, server

Не все бекенды 
понимают заголовок Early-Data,
а ssl_early_data on; было бы полезно включить,
для ускорения 
работы сайта.

-- 
Best regards,
  Gena



Подробная информация о списке рассылки nginx-ru