Bug: SSL ssl_protocols order

Igor Sysoev is at rambler-co.ru
Mon Oct 19 23:51:09 MSD 2009


On Mon, Oct 19, 2009 at 10:33:38PM +0400, Alex Eagle wrote:

> 2009/10/19 Igor Sysoev <is at rambler-co.ru>:
> > On Mon, Oct 19, 2009 at 10:04:47PM +0400, Alex Eagle wrote:
> >> Подозреваю что это все-же баг.
> >
> > Я подозреваю, что оба сервера живут на одном IP-адресе. Я прав ?
> 
> Да точно. Завтра своему админу башку оторву за такое. На это я не
> обратил внимание.
> Но некая проблема в коде nginx все же есть, или нет? Почему скидывает
> на "только SSLv2" ?

Сейчас попробовал

  server_name    B;
  ssl_protocols  SSLv2 SSLv3 TLSv1;
  ssl_ciphers     ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

  server_name    A;
  ssl_protocols  SSLv3 TLSv1;
  ssl_ciphers
DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-SHA:DES-CBC3-S
HA:AES128-SHA:RC4-SHA:RC4-MD5;

Сервер А работает без ошибок (за исключением ругани на сертификаты),
протоколы соединения такие:

MacOSX:
FF 3.0.14               SSLv3   DHE-RSA-CAMELLIA256-SHA
Opera/9.52              TLSv1   DHE-RSA-AES256-SHA
Chrome/4.0.222.5        TLSv1   AES128-SHA
Safari 4.0.3            TLSv1   AES128-SHA

Windows 2003:
MSIE 6.0 SV1            SSLv3   RC4-MD5

В MSIE включался и выключался SSLv2.
В FF и Opera SSLv2 не как класса,
В Safari я вообще не нашёл настройку протоколов.
В Chrome выбор протоколов задизэйблин.

> Ну и было бы неплохо писать в лог о ситуации с IP.

Что именно ?


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list