ssl_session_ticket_key and SNI

Anton Yuzhaninov citrin at citrin.ru
Tue May 6 17:18:03 UTC 2014


On 05/06/14 15:46, Anton Yuzhaninov wrote:
> Желаемое поведение:
> - для example.ru использовать ticket key из файла.
> - для example.com (и всех остальных блоков server) использовать случайный ticket
> key, генерируемый в nginx при старте.

Возможно такое нельзя сделать с openssl если два сервера слушают один и тот же 
ip:port (протокол TLS такое должен позволять, ограничение если и есть то в openssl).

Но в таком случае хотелось бы более внятной диагностики (желательно на этапе 
конфигурации).

Молча дропать подключения из некоторых браузеров (с браузерами без поддержки 
session tickets данный конфиг работает) это аккуратно разложенные грабли.

Аналогично нельзя в одном из серверов (на одном ip:port) прописать 
ssl_session_tickets off; - проблемы такие же (сообщения в логах другие, но так 
же мало говорящие о сути проблемы).



Подробная информация о списке рассылки nginx-ru