ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

Gena Makhomed gmm на csdoc.com
Вт Окт 25 04:47:15 UTC 2022


On 25.10.2022 7:28, Maxim Dounin wrote:

>> https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600

> Полной конфигурации там не приведено, так что остаётся только
> гадать, но судя по всему это очередной пользователь, который
> пытается задавать разные ssl_protocols в name-based виртуальных
> серверах.  Так работать не будет, потому что OpenSSL фиксирует
> протокол раньше, чем становится известно имя.  При этом в разных
> IP-based (или port-based) виртуальных серверах вполне можно
> использовать различные ssl_protocols.

Понятно, спасибо.

Может быть имеет смысл научить nginx, чтобы он выдавал варнинг
в момент чтения конфигурации, если пользователь будет пытаться
задавать разные ssl_protocols в name-based виртуальных серверах?

Или вообще, просто если встречается директива "ssl_protocols"
и "ssl_conf_command" in non-default server{} blocks,
even if SNI is used.

Это же достаточно просто запрограммировать ведь.
Это снимет большое количество глупых вопросов от пользователей.

> Писать всего этого на гитхабе я, конечно, не буду, но приведённой
> выше ссылки на документацию должно хватить даже без каких-либо
> пояснений.

Ясно, спасибо, что ответили в список рассылки. С помощью
google translate я перевел часть Вашего ответа
и опубликовал его на гитхабе:

https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1289968597

-- 
Best regards,
  Gena



Подробная информация о списке рассылки nginx-ru