Re: HTTPS отдавать 444 в секции default
Maxim Dounin
mdounin на mdounin.ru
Чт Июл 28 11:45:01 UTC 2016
Hello!
On Thu, Jul 28, 2016 at 01:55:07PM +0300, Andrey Kopeyko wrote:
> On Thu, 28 Jul 2016, lllsergeyv wrote:
>
> >Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d).
> >Некоторые из них должны работать через https(a,b), остальные(c,d) должны
> >быть недоступны через https. Попробовал добавить в секцию default return
> >444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в
> >результате получаем ошибку сертификата. Можно обрывать запрос сразу как
> >только обработчик доходит до секции default, не дожидаясь установки ssl
> >сессии?
>
> Добрый день!
>
> У вас неверное представление о работе HTTPS.
>
> Работает он так - сперва полностью устанавливается SSL-сессия (да, при её
> handshake используется сертификат из того или иного блока server), и лишь
> затем начинают работать обработчики в конкретном server.
>
> Как вы хотите - так не бывает.
Бывает. В принципе в callback'е по SNI можно и просто соединение
закрыть, но это программировать надо. А прямо сейчас можно
указать "ssl_ciphers aNULL;" в нужном блоке server{}, эффект будет
тот же.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru