Re: ssl_early_data для TLS1.2 ?

[Maxim Dounin]

Hello!

On Thu, Jul 04, 2019 at 12:09:22AM +0500, Илья Шипицин wrote:

> привет!
> 
> в конфиге на уровне http указано "ssl_early_data on;"
> 
> в сервере, в котором нужен TLS1.2 (не задан TLS1.3) не задан никак
> ssl_early_data.
> судя по debug-логу - наследуется от уровня http, и пытается найти в пакетах
> early data.
> 
> по спецификации, на TLS1.2 такого не должно быть.
> 
> может проверять наличие TLS1.3 для включения этой опции (даже
> унаследованной от более высоких уровней) ?

Чтобы что?  В случае, если соединение использует TLSv1.2 - 
соединение уйдёт в обычное чтение, как только OpenSSL нам об этом 
скажет.  Дублировать знание о том, где именно бывает early data, а 
где не бывает, в самом nginx'е - выглядит как ненужное усложнение.

Правильнее всего это место сделано в BoringSSL - там вообще один 
интерфейс для чтения, и если чтение early data включено - то этот 
интерфейс он просто возвращает 0-rtt-данные в случае их наличия.

-- 
Maxim Dounin
http://mdounin.ru/