Re: отключение sslv3

denis denis на webmaster.spb.ru
Чт Дек 17 14:48:36 UTC 2015


17.12.2015 17:38, Maxim Dounin пишет:
> Hello!
>
> On Thu, Dec 17, 2015 at 05:24:51PM +0300, denis wrote:
>
>> Можно в доках более явно указать, что для отключения sslv3 мало прописанного
>> в домене ssl_protocols TLSv1..., ему надо повторить это же в секцию http.
>> Были сильно удивлены таким поведением. А что делать, если одному сайту нужен
>> ссл, а всем оставшимся нет?
>> Или это бага?
>> 1.8.0, центос 6.7, ваша репа (суффикс ngx)
> Чтобы отключить SSLv3, его надо отключить в сервере по умолчанию
> для конкретного listen-сокета.  В виртуальном сервере этого
> сделать нельзя, т.к. в момент установления SSL-соединения не
> известно, к какому виртуальному серверу будет HTTP-запрос.
>
Идея понятна, но в доках такого не увидел. Может просто плохо 
смотрел?... А момент действительно сложный. Ещё отладка усложняется 
отсутствием вывода а-ля apachectl -S, кто где дефолтный и какие там 
опции. И до кучи получаем радость, если добавим ещё домен на той же 
паре, и при этом нет listen ... default - и он станет новым дефолтом. Вы 
не представляете сколько такая подстава может выпить крови.
Имхо, нужно жирно отметить в доках, что указывать надо именно в хттп 
секции, а если нужен иной список - описывать отдельный location с 
отдельной парой адрес-порт и явно заданным дефолтом. Хотя мы быстро 
поняли что не так, всего 3 часа ушло.

"Использовать для них разные наборы адрес-порт."
Так и сделали.



Подробная информация о списке рассылки nginx-ru