Re: HTTPS отдавать 444 в секции default
Maxim Dounin
mdounin на mdounin.ru
Пн Авг 8 19:34:06 UTC 2016
Hello!
On Mon, Aug 08, 2016 at 04:33:16AM -0400, Helper code wrote:
> При использовании - ssl_ciphers aNULL получается облом для браузеров не
> поддерживающих SNI. Без этой директивы все работает.
Если вы прописали это в сервере по умолчанию - так и должно быть.
Браузеры без SNI устанавливают SSL-соединение в рамках
конфигруации сервера по умолчанию, и из-за "ssl_ciphers aNULL" не
могут его установить.
Если хочется запретить доступ только по SSL только к конкретным
доменам, и при этом оставить возможность доступа к остальным
доменам в том числе без SNI, то надо указывать "ssl_ciphers aNULL"
в конкретных блоках server{} для этих доменов.
E.g.:
server {
listen 443 ssl;
server_name example.com;
...
}
server {
listen 443 ssl;
server_name ssl.example.com;
...
}
server {
listen 443 ssl;
server_name nossl.example.com nossl.example.net;
ssl_ciphers aNULL;
ssl_certificate /path/to/dummy.cert;
ssl_certificate_key /path/to/dummy.key;
return 444;
}
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru