Re: HTTPS отдавать 444 в секции default

Maxim Dounin mdounin на mdounin.ru
Чт Июл 28 11:37:53 UTC 2016


Hello!

On Thu, Jul 28, 2016 at 06:44:52AM -0400, lllsergeyv wrote:

> Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d).
> Некоторые из них должны работать через https(a,b), остальные(c,d) должны
> быть недоступны через https. Попробовал добавить в секцию default return
> 444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в
> результате получаем ошибку сертификата. Можно обрывать запрос сразу как
> только обработчик доходит до секции default, не дожидаясь установки ssl
> сессии?

Каких-либо штатных директив для такого поведения нет, и даже есть 
тикет о том, чтобы такое сделать:

https://trac.nginx.org/nginx/ticket/195

Но есть простой workaround: там, где соединения обрабатывать не 
надо, прописать "ssl_ciphers aNULL":

server {
    listen 443 ssl;
    server_name bbb.example.com;
    ssl_ciphers aNULL;
    ssl_certificate /path/to/dummy.crt;
    ssl_certificate_key /path/to/dummy.key;
    return 444;
}

(https://trac.nginx.org/nginx/ticket/195#comment:7)

-- 
Maxim Dounin
http://nginx.org/



Подробная информация о списке рассылки nginx-ru