проблемы с ssl backend

Maxim Dounin mdounin at mdounin.ru
Wed Jul 1 19:45:22 MSD 2009


Hello!

On Wed, Jul 01, 2009 at 04:37:25AM +0400, Sergey Petrov wrote:

> nginx работает как фронтенд для HTTPS сервера(Tomcat), возникла
> проблема коммуникации с бэкэндом.
> конфиг:
> 
> location / {
>     proxy_pass https://XXX.XXX.XXX.XXX:443;
> }
> 
> 
> первый запрос проходит нормально, все остальные возвращают 502.
> пробовал обновить OS(Linux FC10-FC11), openssl(0.9.8g до 0.9.8k), не помогло,
> при этом не возникло проблем под FreeBSD на подобном конфиге;
> возможно что-то не так в обработчике epoll, хотя на CentOS проблему
> воспроизвести также не удалось.

Вероятно поможет downgrade openssl до 0.9.8e. Как workaround 
можно попробовать

    proxy_ssl_session_reuse  off;

Проблема судя по всему кроется где-то в районе появления в openssl 
поддержки TLS extensions, в частности - RFC4507bis session 
tickets.

По хорошему наверное все openssl'евкие ручки надо выносить в 
конфиги дабы обеспечить возможность включения всяких 
workaround'ов, но меня эта идея совсем не привлекает.

Maxim Dounin





More information about the nginx-ru mailing list