Re: HTTPS отдавать 444 в секции default

Maxim Dounin mdounin на mdounin.ru
Пн Авг 8 19:34:06 UTC 2016


Hello!

On Mon, Aug 08, 2016 at 04:33:16AM -0400, Helper code wrote:

> При использовании - ssl_ciphers aNULL получается облом для браузеров не
> поддерживающих SNI. Без этой директивы все работает.

Если вы прописали это в сервере по умолчанию - так и должно быть.  
Браузеры без SNI устанавливают SSL-соединение в рамках 
конфигруации сервера по умолчанию, и из-за "ssl_ciphers aNULL" не 
могут его установить.

Если хочется запретить доступ только по SSL только к конкретным 
доменам, и при этом оставить возможность доступа к остальным 
доменам в том числе без SNI, то надо указывать "ssl_ciphers aNULL" 
в конкретных блоках server{} для этих доменов.

E.g.:

   server {
       listen 443 ssl;
       server_name example.com;
       ...
   }

   server {
       listen 443 ssl;
       server_name ssl.example.com;
       ...
   }

   server {
       listen 443 ssl;
       server_name nossl.example.com nossl.example.net;
       ssl_ciphers aNULL;
       ssl_certificate /path/to/dummy.cert;
       ssl_certificate_key /path/to/dummy.key;
       return 444;
   }

-- 
Maxim Dounin
http://nginx.org/



Подробная информация о списке рассылки nginx-ru