ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Илья Шипицин chipitsine на gmail.com
Вт Окт 25 05:14:54 UTC 2022


вт, 25 окт. 2022 г. в 09:47, Gena Makhomed <gmm на csdoc.com>:

> On 25.10.2022 7:28, Maxim Dounin wrote:
>
> >>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
>
> > Полной конфигурации там не приведено, так что остаётся только
> > гадать, но судя по всему это очередной пользователь, который
> > пытается задавать разные ssl_protocols в name-based виртуальных
> > серверах.  Так работать не будет, потому что OpenSSL фиксирует
> > протокол раньше, чем становится известно имя.  При этом в разных
> > IP-based (или port-based) виртуальных серверах вполне можно
> > использовать различные ssl_protocols.
>
> Понятно, спасибо.
>
> Может быть имеет смысл научить nginx, чтобы он выдавал варнинг
> в момент чтения конфигурации, если пользователь будет пытаться
> задавать разные ssl_protocols в name-based виртуальных серверах?
>

это наверное критикал. т.е. человек делает конфиг, который в силу свойств
openssl работать будет
не так, как описано пользователем, а наоборот

про подобное поведение знаем, сталкивались. больно

в теории, я конечно, понимаю, что клиент может пихнуть днс в SNI. и уже
в ответ на SNI сервер может предложить те или иные протоколы, вопрос к
OpenSSL


>
> Или вообще, просто если встречается директива "ssl_protocols"
> и "ssl_conf_command" in non-default server{} blocks,
> even if SNI is used.
>
> Это же достаточно просто запрограммировать ведь.
> Это снимет большое количество глупых вопросов от пользователей.
>
> > Писать всего этого на гитхабе я, конечно, не буду, но приведённой
> > выше ссылки на документацию должно хватить даже без каких-либо
> > пояснений.
>
> Ясно, спасибо, что ответили в список рассылки. С помощью
> google translate я перевел часть Вашего ответа
> и опубликовал его на гитхабе:
>
>
> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597
>
> --
> Best regards,
>   Gena
>
> _______________________________________________
> nginx-ru mailing list -- nginx-ru на nginx.org
> To unsubscribe send an email to nginx-ru-leave на nginx.org
>
----------- следующая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20221025/344819c7/attachment.htm>


Подробная информация о списке рассылки nginx-ru