Re: Не применятеся список разрешённых протоколов SSL.

[Gena Makhomed]

On 02.09.2015 15:53, ekassir wrote:

> SNI включен, но не помогает.

Клиенты работающие по протоколу SSLv3 не поддерживают SNI.

Умеет клиент SNI или нет - можно посмотреть здесь:
https://www.ssllabs.com/ssltest/viewMyClient.html
https://www.ssllabs.com/ssltest/clients.html

> А вот открытие различных сокетов - решение,
> но в таком случает придётся как-то разделять
> на периметре сайты для разных протоколов.
> Опять же либо по разным внешним IP

До того как появилось SNI - это был вообще единственный вариант.
Да и сейчас, это единственный гарантированно работающий вариант.

Есть еще один вариант - можно в конфиге проверять $ssl_protocol
и если это сайт высокой степени надежности - закрывать соединение
или показывать явное сообщение про ошибку, если к нему обратились
по более низкой версии протокола, по которой он работать не должен.

Тогда - у части серверов будет разрешен протокол SSLv3 и TLS1.0,
а у всех остальных - только старшие протоколы TLSv1.1 и TLSv1.2.

-- 
Best regards,
  Gena