ssl_early_data
Gena Makhomed
gmm на csdoc.com
Сб Апр 24 19:15:36 UTC 2021
Здравствуйте,
All!
Есть в nginx директива ssl_early_data, но как я
понял из документации,
чтобы ее можно
было безопасно включить - необходимо сделать защиту
от replay attacks.
В документации предлагается делать ее на бекенде,
с помощью заголовка proxy_set_header Early-Data $ssl_early_data;
Можно ли настроить сам nginx таким способом, чтобы он нормально
пропускал на бекенд безопасные запросы GET, HEAD, OPTIONS, TRACE
в том случае когда $ssl_early_data установлена в 1 и чтобы
он возвращал
клиенту 425 (Too Early) status code в том случае, если запрос имеет
не безопасный
метод POST, PUT, DELETE, PATCH и $ssl_early_data; равно 1.
Идеально, если
это будет встроенная в nginx функциональность,
например, с помощью директивы ssl_early_data_protection.
Syntax: ssl_early_data on | off;
Default: ssl_early_data off;
Context: http, server
Syntax: ssl_early_data_protection on | off;
Default: ssl_early_data_protection off;
Context: http, server
Не все бекенды
понимают заголовок Early-Data,
а ssl_early_data on; было бы полезно включить,
для ускорения
работы сайта.
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru