<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">Количество ошибок на уровне HTTP - может быть нерелевантно
происходящему, и, скажем, означать, что больше проблемных клиентов
теперь могут пройти через SSL handshake.
Ну и смотреть надо не на абсолютные цифры, а на проценты от
трафика. Если речь про доли процента - наблюдаемое изменение
может быть следствием того, что проблемы возникают у каких-либо
малораспространённых клинтов, и совершенно не факт, что на это
надо обращать внимание. Например, из OpenSSL 1.0.2 могли убрать
какие-то workaround'ы для ошибочного поведения, или же из-за
изменения списка шифров теперь используются другие шифры, которые,
наоборот, вызывают проблемы в этих клиентах.</pre>
</blockquote>
<p>Ну не знаю, количество ошибок, которое возросло в 3-4 раза, как
по мне стоит того, чтобы обратить внимание. Доля трафика конечно
небольшая, я думаю примерно в пределах одного процента, а точнее:
0.24% запросов это ошибки (499,408,400). Но обычно эта доля
составляет 0.05%, что и расстраивает. Надо конечно это считать не
по количеству запросов, а по количеству пользователей, которых это
затрагивает, но все же. <br>
</p>
<p>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">Если же хочется таки разобраться - то имеет смысл смотреть
подробную информацию по ошибкам, в частности - что при этом пишет
nginx в логи (если есть подробности - они скорее всего на уровне
info), и что известно про этих клиентов - User-Agent, используемые
протоколы, шифры и так далее.</pre>
</blockquote>
Да, спасибо. Буду исследовать дальше.<br>
<br>
<blockquote type="cite">
<pre style="white-space: pre-wrap; color: rgb(0, 0, 0); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">В первую очередь - в OpenSSL 1.0.1 нет ALPN, то есть HTTP/2 в
современных браузерах работать не будет. Если в конфиге включён
HTTP/2 - переход на OpenSSL 1.0.2 будет сильным изменением
поведения в любом случае. Так что имеет смысл HTTP/2 выключить и
сравнивать строго без HTTP/2. Важно при этом выключить везде,
потому как http2 - это опция сокета, и если она останется в любом
из блоков server, то HTTP/2 продолжит работать.
</pre>
</blockquote>
Тестил как с http2 так и без него, результат один и тот же. Про то
что отключать его нужно во всех блоках server знаю, после
выключения непосредственно проверял вручную, выключился ли он
действительно.<br>
<br>
<blockquote type="cite">
<pre style="white-space: pre-wrap; color: rgb(0, 0, 0); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">Если вдруг используются множественные сертификаты в одном блоке
server - переход с OpenSSL 1.0.1 на 1.0.2 потребует изменения
цепочек в ssl_certificate, т.к. в случае OpenSSL 1.0.1 цепочка
только одна и общаяя для всех сертификатов, а в случае 1.0.2 - у
каждого сертификата своя.</pre>
</blockquote>
Я к сожалению не очень разбираюсь в этом, я использую wildcard
сертификаты от letsencrypt. То что сгенирировал certbot то и даю
nginx. Как писал раннее, тестил версии openssl: 1.0.1u, 1.0.2g,
1.1.1b. Данная проблема воспроизводится успешно на 1.0.2g и
1.1.1b.<br>
<br>
Спасибо за наводки, понял, что проблема скорее всего на клиентской
стороне с поддержкой алгоритмов ssl или еще какие-то, буду
исследовать дальше.<br>
<br>
<br>
</p>
--
<pre class="moz-signature" cols="72">Kind regards
Dmitry Sergeev
Tel: +7 (951) 129-75-72</pre>
</body>
</html>