http и https на одном севере

Igor Sysoev is at rambler-co.ru
Thu Jan 18 13:46:40 MSK 2007 

On Thu, 18 Jan 2007, Andrew Kopeyko wrote:

> On Thu, 18 Jan 2007, Igor Sysoev wrote:
>
>> On Thu, 18 Jan 2007, Andrew Kopeyko wrote:
>> 
>>> On Thu, 18 Jan 2007, Igor Sysoev wrote:
>>> 
>>>> On Thu, 18 Jan 2007, Dmitry Morozovsky wrote:
>>>> 
>>>>> On Thu, 18 Jan 2007, Igor Sysoev wrote:
>>>>> 
>>>>> IS> > IS> Может быть, действительно сделать
>>>>> IS> > IS>
>>>>> IS> > IS>     server {
>>>>> IS> > IS>        listen   80;
>>>>> IS> > IS>        listen   443 default ssl;
>>>>> IS> > IS>
>>>>> IS> > IS>        ...
>>>>> IS> > IS>
>>>>> IS> > IS>        location /some/ {
>>>>> IS> > IS>            if ($ssl = "") {
>>>>> IS> > IS>                ...
>>>>> IS> > IS>            }
>>>>> IS> > IS>        }
>>>>> IS> > IS>
>>>>> IS> > IS> ?
>>>>> IS> > IS> Правда, я пока не вижу, есть ли здесь какие-нибудь подводные 
>>>>> камни.
>>>>> IS> >
>>>>> IS> > Выглядит красиво и логично. Некоторые проблемы с выбором (точнее, 
>>>>> с
>>>>> IS> > обоснованием выбора) имени SSL-ного хоста, но они есть и сейчас.
>>>>> IS>
>>>>> IS> Не понял, о каком выборе идёт речь ?
>>>>> 
>>>>> имени https хоста из server_name
>>>> 
>>>>   server {
>>>>       listen   80;
>>>>       listen   443 default ssl;
>>>> 
>>>>       server_name  www.example.com  *.example.com;
>>>> 
>>>> и сертификат для www.example.com или *.example.com.
>>> 
>>> Теперь у клиента возникнут проблемы - если, придя на nechto.example.com 
>>> ему покажут сертификат для "www.example.com"... Особенно строго с этим в 
>>> IE7.
>> 
>> Данная конструкция нужна для случаев, когда http://www.example.com
>> и https://www.example.com отличаются только буковкой 's'.
>
> Для такого и только для такого случая.
>
> Но стоит ли такой специфический случай отдельного внимания? Придётся ведь

Это не специфичный случай, а самый распространённый.

> проверять что в server_name указано единственное имя, и не содержащее 
> метасимволов. В противном случае - ругаться.

Нет, проверку я оставлю на усмотрение админа.

> Да, и порт нужно будет проверять - ибо работать будет только на дефолтных 
> 80/443

Почему ?


Игорь Сысоев
http://sysoev.ru

More information about the nginx-ru mailing list