<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 7, 2019, 5:45 PM Dmitry Sergeev <<a href="mailto:identw@gmail.com">identw@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <blockquote type="cite">
      <pre class="m_-1315215371325971541moz-quote-pre">Количество ошибок на уровне HTTP - может быть нерелевантно 
происходящему, и, скажем, означать, что больше проблемных клиентов 
теперь могут пройти через SSL handshake.

Ну и смотреть надо не на абсолютные цифры, а на проценты от 
трафика.  Если речь про доли процента - наблюдаемое изменение 
может быть следствием того, что проблемы возникают у каких-либо 
малораспространённых клинтов, и совершенно не факт, что на это 
надо обращать внимание.  Например, из OpenSSL 1.0.2 могли убрать 
какие-то workaround'ы для ошибочного поведения, или же из-за 
изменения списка шифров теперь используются другие шифры, которые, 
наоборот, вызывают проблемы в этих клиентах.</pre>
    </blockquote>
    <p>Ну не знаю, количество ошибок, которое возросло в 3-4 раза, как
      по мне стоит того, чтобы обратить внимание. Доля трафика конечно
      небольшая, я думаю примерно в пределах одного процента, а точнее: 
      0.24% запросов это ошибки (499,408,400). Но обычно эта доля
      составляет 0.05%, что и </p></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">А каких-нибудь мобильных клиентов на okhttp старых версий (у них очень плохо с http2) нет?</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div text="#000000" bgcolor="#FFFFFF"><p>расстраивает. Надо конечно это считать не
      по количеству запросов, а по количеству пользователей, которых это
      затрагивает, но все же. <br>
    </p>
    <p>
      </p><blockquote type="cite">
        <pre class="m_-1315215371325971541moz-quote-pre">Если же хочется таки разобраться - то имеет смысл смотреть 
подробную информацию по ошибкам, в частности - что при этом пишет 
nginx в логи (если есть подробности - они скорее всего на уровне 
info), и что известно про этих клиентов - User-Agent, используемые 
протоколы, шифры и так далее.</pre>
      </blockquote>
      Да, спасибо. Буду исследовать дальше.<br>
      <br>
      <blockquote type="cite">
        <pre style="white-space:pre-wrap;color:rgb(0,0,0);font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;word-spacing:0px;text-decoration-style:initial;text-decoration-color:initial">В первую очередь - в OpenSSL 1.0.1 нет ALPN, то есть HTTP/2 в 
современных браузерах работать не будет.  Если в конфиге включён 
HTTP/2 - переход на OpenSSL 1.0.2 будет сильным изменением 
поведения в любом случае.  Так что имеет смысл HTTP/2 выключить и 
сравнивать строго без HTTP/2.  Важно при этом выключить везде, 
потому как http2 - это опция сокета, и если она останется в любом 
из блоков server, то HTTP/2 продолжит работать.
</pre>
      </blockquote>
      Тестил как с http2 так и без него, результат один и тот же. Про то
      что отключать его нужно во всех блоках server знаю, после
      выключения непосредственно проверял вручную, выключился ли он
      действительно.<br>
      <br>
      <blockquote type="cite">
        <pre style="white-space:pre-wrap;color:rgb(0,0,0);font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;word-spacing:0px;text-decoration-style:initial;text-decoration-color:initial">Если вдруг используются множественные сертификаты в одном блоке 
server - переход с OpenSSL 1.0.1 на 1.0.2 потребует изменения 
цепочек в ssl_certificate, т.к. в случае OpenSSL 1.0.1 цепочка 
только одна и общаяя для всех сертификатов, а в случае 1.0.2 - у 
каждого сертификата своя.</pre>
      </blockquote>
      Я к сожалению не очень разбираюсь в этом, я использую wildcard
      сертификаты от letsencrypt. То что сгенирировал certbot то и даю
      nginx. Как писал раннее, тестил версии openssl: 1.0.1u, 1.0.2g,
      1.1.1b. Данная проблема воспроизводится успешно на 1.0.2g и
      1.1.1b.<br>
      <br>
      Спасибо за наводки, понял, что проблема скорее всего на клиентской
      стороне с поддержкой алгоритмов ssl или еще какие-то, буду
      исследовать дальше.<br>
      <br>
      <br>
    <p></p>
    --
    <pre class="m_-1315215371325971541moz-signature" cols="72">Kind regards
Dmitry Sergeev
Tel: +7 (951) 129-75-72</pre>
  </div>

_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank" rel="noreferrer">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div></div>