<div dir="ltr"><div>Hello,</div>That's a good idea.BoringSSL supports Equivalent encryption algorithm group,likes follow:<div>[ECDHE_ECDSA_CHACHA20_POLY1305_SHA384|ECDHE_ECDSA_AES_128_GCM_SHA384]:...</div><div>Cipher suites which are included by [] are equivalent,when TLS handshaking,the feature can choose the best cipher suites by clients' platform.</div><div>But it is hard to complie nginx with boringssl,and it dosen't support OCSP Stapling,that's too bad.</div><div>I think your idea will be interesting if it can be come true.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-06 18:29 GMT+08:00 Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div><div class="h5"><br>
On Mon, Jun 06, 2016 at 09:08:08AM +0800, 四弦 wrote:<br>
<br>
> Hello,<br>
> When the nginx-1.11.0 released,'ssl_certficate' and 'ssl_certificate_key'<br>
> options can be use several times to load different kinds of<br>
> certificates.But,if you use the module 'nginx-ct' to enable 'Certificate<br>
> Transperancy' policy(the module allow you to submit your certificate to<br>
> 'Certificate Transperancy Logs' server and get the 'SCT' which can be used<br>
> to sent to browser to enable 'Certificate Transperancy'.And it added two<br>
> options:'ssl_ct on/off;' and 'ssl_ct_static_scts<br>
> /path/to/sct/directory;')So,if you use ECDSA and RSA dual-certificates,you<br>
> can only put SCT of each other in a directory.In chrome 50,you will see '1<br>
> vaild SCT,1 invaild SCT',and in some lower version chrome,you click the<br>
> 'Lock' on the left of the address bar,it will display a red 'Lock' with a<br>
> '×' in the pop-up menu,although the text beside is 'The server provides a<br>
> valid certificate, and provide a valid Certificate Transperancy<br>
> information'.<br>
> And it also says:'Your connection is not private connection.'<br>
><br>
> So,why don't we add a section called 'ssl'?It can allow us to have some<br>
> different settings according to the type of certificates.Likes follow:<br>
> ssl{<br>
><br>
> ssl_certificate ...;<br>
><br>
> ssl_certificate_key ...;<br>
><br>
> ssl_ct on;<br>
><br>
> ssl_ct_static_sct /path/to/ecc/sct;<br>
><br>
> }<br>
> ssl{<br>
><br>
> ssl_certificate ...;<br>
> ssl_certificate_key ...;<br>
> ssl_ct on;<br>
> ssl_ct_static_sct /path/to/rsa/sct;<br>
><br>
> }<br>
> How do you think of my advice?<br>
<br>
</div></div>Rather, I would think about somehow selecting different server{}<br>
blocks based on SSL options (e.g., ciphers supported by a client).<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
<br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a></font></span></blockquote></div><br></div>