<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 25 окт. 2022 г. в 09:47, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 25.10.2022 7:28, Maxim Dounin wrote:<br>
<br>
>> <a href="https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600" rel="noreferrer" target="_blank">https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600</a><br>
<br>
> Полной конфигурации там не приведено, так что остаётся только<br>
> гадать, но судя по всему это очередной пользователь, который<br>
> пытается задавать разные ssl_protocols в name-based виртуальных<br>
> серверах.  Так работать не будет, потому что OpenSSL фиксирует<br>
> протокол раньше, чем становится известно имя.  При этом в разных<br>
> IP-based (или port-based) виртуальных серверах вполне можно<br>
> использовать различные ssl_protocols.<br>
<br>
Понятно, спасибо.<br>
<br>
Может быть имеет смысл научить nginx, чтобы он выдавал варнинг<br>
в момент чтения конфигурации, если пользователь будет пытаться<br>
задавать разные ssl_protocols в name-based виртуальных серверах?<br></blockquote><div><br></div><div>это наверное критикал. т.е. человек делает конфиг, который в силу свойств openssl работать будет</div><div>не так, как описано пользователем, а наоборот</div><div><br></div><div>про подобное поведение знаем, сталкивались. больно</div><div><br></div><div>в теории, я конечно, понимаю, что клиент может пихнуть днс в SNI. и уже</div><div>в ответ на SNI сервер может предложить те или иные протоколы, вопрос к OpenSSL</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Или вообще, просто если встречается директива "ssl_protocols"<br>
и "ssl_conf_command" in non-default server{} blocks,<br>
even if SNI is used.<br>
<br>
Это же достаточно просто запрограммировать ведь.<br>
Это снимет большое количество глупых вопросов от пользователей.<br>
<br>
> Писать всего этого на гитхабе я, конечно, не буду, но приведённой<br>
> выше ссылки на документацию должно хватить даже без каких-либо<br>
> пояснений.<br>
<br>
Ясно, спасибо, что ответили в список рассылки. С помощью<br>
google translate я перевел часть Вашего ответа<br>
и опубликовал его на гитхабе:<br>
<br>
<a href="https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597" rel="noreferrer" target="_blank">https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597</a><br>
<br>
-- <br>
Best regards,<br>
  Gena<br>
<br>
_______________________________________________<br>
nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>
</blockquote></div></div>