nginx-1.7.0

Maxim Dounin mdounin at mdounin.ru
Mon Apr 28 12:31:23 UTC 2014


Hello!

On Sat, Apr 26, 2014 at 11:41:12AM +0700, Vadim A. Misbakh-Soloviov wrote:

> В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал:
> > On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote:
> > > Не совсем понятно, что делать с  proxy_ssl_verify_depth? Длина цепочки не
> > > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один?
> > 
> > Значение по умолчанию предполагает, что сертификаты подписаны
> > непосредственно теми root CA, которые указаны как доверенные.
> > Если длина цепочки не очевидна - то можно поставить, например, 9
> > (именно такое значение OpenSSL использует по умолчанию).
> 
> Мне больше интересно про "поставить 0" (будет ли подразумеваться не проверять 
> CA или будет какой-то side-effect (проверять, конечно же, лень :D)

Если поставить 0, то проверку будут проходить только 
самоподписанные сертификаты.  Подробное описание можно почерпнуть 
из man SSL_CTX_set_verify_depth:

       SSL_CTX_set_verify_depth() and SSL_set_verify_depth() set the limit up
       to which depth certificates in a chain are used during the verification
       procedure. If the certificate chain is longer than allowed, the
       certificates above the limit are ignored. Error messages are generated
       as if these certificates would not be present, most likely a
       X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY will be issued.  The depth
       count is "level 0:peer certificate", "level 1: CA certificate", "level
       2: higher level CA certificate", and so on. Setting the maximum depth
       to 2 allows the levels 0, 1, and 2. The default depth limit is 9,
       allowing for the peer certificate and additional 9 CA certificates.

-- 
Maxim Dounin
http://nginx.org/



Подробная информация о списке рассылки nginx-ru