one domain with ssl and without

[Igor Sysoev]

On Sat, 21 May 2005, RaPaMaN wrote:

> Igor Sysoev пишет:
>
>> On Sat, 21 May 2005, RaPaMaN wrote:
>> 
>>> похоже, я просто не увидел, что пишется в лог один на обоих хостах.
>>> 
>>> А про порядок все равно инетерсно, так как я описал только один хост по 
>>> https, не открыть могу любой.
>>> 
>>> Это можно как-то запретить, кроме явного описывания хоста на 443 порту и 
>>> указания deny ?
>> 
>> 
>> Я не понял вопрос.
>
> Я добавил еще одну конфигурацию для хоста server {...} только прописал в ней 
> sslo on;, т.е. только для https
>
> Сейчас я могу открыть любой хост по https:..., есть для него описание для 
> https или нет.
>
> Вот вопрос был, как можно разрешить доступ по https только к тем хостам у 
> которых явно прописано в конфигурации ssl on; ?

Если все хосты слушают на одном адресе или просто на порту (*:443),
то для всех них будет работать https, так уж он устроен.
Можно запретить обращаться по имени, которое не описано в конфигурации:

restrict_host_names   [on|off|close];

close сразу закрывает соединение. on формирует внутреннюю ошибку 498 и её
можно перенаправлять с помощью "error_page  498  /498.html". Если
перенаправления нет, то 498 превращается в 404.

Но вообще, нужно заметить, что самая ресурсоёмкая операция, ssl-handshake,
на этом этапе уже пройдена.


Игорь Сысоев
http://sysoev.ru