проблемы с ssl backend
Maxim Dounin
mdounin at mdounin.ru
Wed Jul 1 19:45:22 MSD 2009
Hello!
On Wed, Jul 01, 2009 at 04:37:25AM +0400, Sergey Petrov wrote:
> nginx работает как фронтенд для HTTPS сервера(Tomcat), возникла
> проблема коммуникации с бэкэндом.
> конфиг:
>
> location / {
> proxy_pass https://XXX.XXX.XXX.XXX:443;
> }
>
>
> первый запрос проходит нормально, все остальные возвращают 502.
> пробовал обновить OS(Linux FC10-FC11), openssl(0.9.8g до 0.9.8k), не помогло,
> при этом не возникло проблем под FreeBSD на подобном конфиге;
> возможно что-то не так в обработчике epoll, хотя на CentOS проблему
> воспроизвести также не удалось.
Вероятно поможет downgrade openssl до 0.9.8e. Как workaround
можно попробовать
proxy_ssl_session_reuse off;
Проблема судя по всему кроется где-то в районе появления в openssl
поддержки TLS extensions, в частности - RFC4507bis session
tickets.
По хорошему наверное все openssl'евкие ручки надо выносить в
конфиги дабы обеспечить возможность включения всяких
workaround'ов, но меня эта идея совсем не привлекает.
Maxim Dounin
More information about the nginx-ru
mailing list