http и https на одном севере

Andrew Kopeyko kaa at zvuki.ru
Thu Jan 18 13:43:24 MSK 2007


On Thu, 18 Jan 2007, Igor Sysoev wrote:

> On Thu, 18 Jan 2007, Andrew Kopeyko wrote:
>
>> On Thu, 18 Jan 2007, Igor Sysoev wrote:
>> 
>>> On Thu, 18 Jan 2007, Dmitry Morozovsky wrote:
>>> 
>>>> On Thu, 18 Jan 2007, Igor Sysoev wrote:
>>>> 
>>>> IS> > IS> Может быть, действительно сделать
>>>> IS> > IS>
>>>> IS> > IS>     server {
>>>> IS> > IS>        listen   80;
>>>> IS> > IS>        listen   443 default ssl;
>>>> IS> > IS>
>>>> IS> > IS>        ...
>>>> IS> > IS>
>>>> IS> > IS>        location /some/ {
>>>> IS> > IS>            if ($ssl = "") {
>>>> IS> > IS>                ...
>>>> IS> > IS>            }
>>>> IS> > IS>        }
>>>> IS> > IS>
>>>> IS> > IS> ?
>>>> IS> > IS> Правда, я пока не вижу, есть ли здесь какие-нибудь подводные 
>>>> камни.
>>>> IS> >
>>>> IS> > Выглядит красиво и логично. Некоторые проблемы с выбором (точнее, с
>>>> IS> > обоснованием выбора) имени SSL-ного хоста, но они есть и сейчас.
>>>> IS>
>>>> IS> Не понял, о каком выборе идёт речь ?
>>>> 
>>>> имени https хоста из server_name
>>> 
>>>   server {
>>>       listen   80;
>>>       listen   443 default ssl;
>>> 
>>>       server_name  www.example.com  *.example.com;
>>> 
>>> и сертификат для www.example.com или *.example.com.
>> 
>> Теперь у клиента возникнут проблемы - если, придя на nechto.example.com ему 
>> покажут сертификат для "www.example.com"... Особенно строго с этим в IE7.
>
> Данная конструкция нужна для случаев, когда http://www.example.com
> и https://www.example.com отличаются только буковкой 's'.

Для такого и только для такого случая.

Но стоит ли такой специфический случай отдельного внимания? Придётся ведь 
проверять что в server_name указано единственное имя, и не содержащее 
метасимволов. В противном случае - ругаться.

Да, и порт нужно будет проверять - ибо работать будет только на дефолтных 
80/443

> С *.example.com я погорячился.


-- 
Best regards,
Andrew Kopeyko <kaa at zvuki.ru>
http://www.zvuki.ru/ sysadmin






More information about the nginx-ru mailing list