Re: Проблема с SSl

[Maxim Dounin]

Hello!

On Mon, Oct 22, 2018 at 06:24:09PM +0300, Иван Мишин wrote:

> если проблема в утилите openssl то почему servicen nignx reload исцеляет
> систему?

Потому что OpenSSL - это библиотека, которую использует nginx.  А 
баги - часто проявляются не сразу, а только после определённого 
времени работы процесса.

Наиболее простой пример ошибки, которая начинает проявляться 
только после некоторого времени работы процесса - отсутствующая 
инициализация выделенной памяти в 0, когда таковая инициализация 
нужна.  Сразу после запуска процесса проблемы не будет - так как 
свежеполученные от системы страницы всё равно проинициализированы 
в 0.  Однако со временем часть аллокаций начинает получать память 
не из системы, а из ранее освобождённых аллокаций в том же 
процессе - и там уже будут не обязательно нули, и могут начать 
вылезать ошибки.

> На том же сервере работает еще и apache (очевидно с тем же openssl) и он
> такой проблемы не имеет

Баги имеют свойство проявляться по разному в зависимости от того, 
что именно и как используется.  Даже если у вас рядом стоит Apache 
с той же нагрузкой, теми же GOST-шифрами и тоже с загрузкой ключей 
через engine (что сомнительно, потому что Apache, AFAIK, так 
просто не умеет) - это говорит лишь о том, что проблема почему-то 
не проявляется в Apache, но проявляется в nginx.  О природе 
проблемы это говорит приблизительно ничего.

-- 
Maxim Dounin
http://mdounin.ru/