Re: Fwd: Авторизация с помощью SSL
Maxim Dounin
mdounin at mdounin.ru
Wed Sep 25 12:35:53 UTC 2013
Hello!
On Wed, Sep 25, 2013 at 12:36:40AM +0300, Alex Domoradov wrote:
> Понятно, а будут ли какие то негативные последствия, если я знаю, что
> необхходимая глубина 1, но выставлю знаениче 2 или 3. Это создаст
> лишнюю нагрузку или проверка в таком случае вообще не будет проходить?
Директива ssl_verify_depth задаёт максимальную глубину, дальше
которой проверка делаться не будет. Так что в нормальном случае
проверки валидного сертификата, проверка которого ранее проходила, -
ничего не изменится. Меняются только аспекты, относящиеся к
более "глубоким" проверкам:
1. Промежуточные CA начинают работать. И если вдруг есть
выпущенные промежуточные CA - то надо понимать, что выпущенные ими
клиентские сертификаты тоже начнут работать. Даже если никаких
промежуточных сертификатов в nginx не добавлено - ибо в рамках
протокола у клиента имеется возможность самостоятельно прислать
промежуточные CA.
2. Возрастает количество проверок подписей, которое "нехороший"
клиент может заставить сделать сервер за одно соединение. Это
следует учитывать с точки зрения защиты от возможного DoS'а.
--
Maxim Dounin
http://nginx.org/en/donation.html
Подробная информация о списке рассылки nginx-ru