
<div dir="ltr"><div>Hello,</div>That's a good idea.BoringSSL supports Equivalent encryption algorithm group,likes follow:<div>[ECDHE_ECDSA_CHACHA20_POLY1305_SHA384|ECDHE_ECDSA_AES_128_GCM_SHA384]:...</div><div>Cipher suites which are included by [] are equivalent,when TLS handshaking,the feature can choose the best cipher suites by clients' platform.</div><div>But it is hard to complie nginx with boringssl,and it dosen't support OCSP Stapling,that's too bad.</div><div>I think your idea will be interesting if it can be come true.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-06 18:29 GMT+08:00 Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>

<div><div class="h5"><br>

On Mon, Jun 06, 2016 at 09:08:08AM +0800, 四弦 wrote:<br>

<br>

> Hello,<br>

> When the nginx-1.11.0 released,'ssl_certficate' and 'ssl_certificate_key'<br>

> options can be use several times to load different kinds of<br>

> certificates.But,if you use the module 'nginx-ct' to enable 'Certificate<br>

> Transperancy' policy(the module allow you to submit your certificate to<br>

> 'Certificate Transperancy Logs' server and get the 'SCT' which can be used<br>

> to sent to browser to enable 'Certificate Transperancy'.And it added two<br>

> options:'ssl_ct on/off;' and 'ssl_ct_static_scts<br>

> /path/to/sct/directory;')So,if you use ECDSA and RSA dual-certificates,you<br>

> can only put SCT of each other in a directory.In chrome 50,you will see '1<br>

> vaild SCT,1 invaild SCT',and in some lower version chrome,you click the<br>

> 'Lock' on the left of the address bar,it will display a red 'Lock' with a<br>

> '×' in the pop-up menu,although the text beside is 'The server provides a<br>

> valid certificate, and provide a valid Certificate Transperancy<br>

> information'.<br>

> And it also says:'Your connection is not private connection.'<br>

><br>

> So,why don't we add a section called 'ssl'?It can allow us to have some<br>

> different settings according to the type of certificates.Likes follow:<br>

> ssl{<br>

><br>

> ssl_certificate ...;<br>

><br>

> ssl_certificate_key ...;<br>

><br>

> ssl_ct on;<br>

><br>

> ssl_ct_static_sct /path/to/ecc/sct;<br>

><br>

> }<br>

> ssl{<br>

><br>

> ssl_certificate ...;<br>

> ssl_certificate_key ...;<br>

> ssl_ct on;<br>

> ssl_ct_static_sct /path/to/rsa/sct;<br>

><br>

> }<br>

> How do you think of my advice?<br>

<br>

</div></div>Rather, I would think about somehow selecting different server{}<br>

blocks based on SSL options (e.g., ciphers supported by a client).<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Maxim Dounin<br>

<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>

<br>

_______________________________________________<br>

nginx mailing list<br>

<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a></font></span></blockquote></div><br></div>