Re: HTTPS отдавать 444 в секции default

[Maxim Dounin]

Hello!

On Thu, Jul 28, 2016 at 01:55:07PM +0300, Andrey Kopeyko wrote:

> On Thu, 28 Jul 2016, lllsergeyv wrote:
> 
> >Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d).
> >Некоторые из них должны работать через https(a,b), остальные(c,d) должны
> >быть недоступны через https. Попробовал добавить в секцию default return
> >444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в
> >результате получаем ошибку сертификата. Можно обрывать запрос сразу как
> >только обработчик доходит до секции default, не дожидаясь установки ssl
> >сессии?
> 
> Добрый день!
> 
> У вас неверное представление о работе HTTPS.
> 
> Работает он так - сперва полностью устанавливается SSL-сессия (да, при её
> handshake используется сертификат из того или иного блока server), и лишь
> затем начинают работать обработчики в конкретном server.
> 
> Как вы хотите - так не бывает.

Бывает.  В принципе в callback'е по SNI можно и просто соединение 
закрыть, но это программировать надо.  А прямо сейчас можно 
указать "ssl_ciphers aNULL;" в нужном блоке server{}, эффект будет 
тот же.

-- 
Maxim Dounin
http://nginx.org/