Битые SSL сертификаты

Zherdev Anatoly tolyar at mx.ru
Thu Jan 27 14:15:56 MSK 2005


On Thu, 27 Jan 2005 13:11:36 +0300 (MSK)
Igor Sysoev <is at rambler-co.ru> wrote:

> On Thu, 27 Jan 2005, Zherdev Anatoly wrote:
> 
> > Обнаружил вот какую вещь. Если положить битый SSL сертификат на один
из
> > серверов, то nginx не запускается вообще. Лучше наверное сделать,
чтобы
> > он выводил предупреждение, но запускался, убирая поддержку HTTPS для
> > данного сервера. Ведь если есть несколько секций server, то все
> > остальные по уму должны работать.
> 1) ключ -t для тестирования конфигурации, nginx при этом, кроме
текста,
>     возвращает код 0 или 1.
> 
> 2) если при переконфигурации (-HUP) новая конфигурация окажется
плохой,
>     то используется старая.
> 
> 3) для вращения логов есть специальный сигнал -USR1, поэтому логи
>     можно легко вращать в полночь, не боясь, что сайт превратится в
тыкву
>     из-за ошибки в конфигурации.
> 
> На мой взгляд, при смене сертификата нужно или запускать nginx -t,

Понял. Не подумал, что nginx -t еще и сертификаты проверяет. Это меняет
дело. Хотя всё равно вопрос тут спорный. Ведь один битый сертификат
влияет только на один сервер да и то только при функционировании при
HTTPS. Вопрос спорный, я для себя пока не решил как лучше. Kpoxa тоже
прав, из-за одного сертификата не давать возможности обновлять остальные
сайты тоже не здорово. Если добавление происходит автоматом, то стоит
иметь возможность другим пользователям изменять свои сертификаты,
независимо от ошибки на одном из серверов. Я пока решил сделать
проверялку сертификатов на правильность при установке, 
возможно что это наиболее правильный выход.


-- 
Zherdev Anatoly.





More information about the nginx-ru mailing list