Два разных сертификата на хост

[Maxim Dounin]

Hello!

On Mon, Sep 26, 2022 at 06:48:16PM -0400, oradba25 wrote:

> Добрый день
> 
> В документации есть фраза, что "Начиная с версии 1.11.0 эта директива
> [ssl_certificate] может быть указана несколько раз для загрузки сертификатов
> разных типов, например RSA и ECDSA"
> 
> Вопрос -- можно ли использовать при этом цепочки разных ЦА, например
> GlobalSign и МинЦифры
> 
> Для чего, понятно, в связи с текущими событиями плавно перейти на Российские
> сертификаты
> 
> Или это можно сделать каким-либо другим способом не дублируя конфигурацию в
> разных виртуальных серверах?

Выбор между RSA- и ECDSA-сертификатами делается на основе 
поддерживаемых клиентом шифронаборов: если для соединения будет 
выбран шифронабор с аутентификацией через ECDSA, то будет 
использован ECDSA-сертификат, а если с аутентификацией через RSA - 
то RSA-сертификат.  При этом сертификаты предполагаются 
одинаковыми с точки зрения доверия клиентов.

Для выбора между "российскими сертификатами" и нормальными на 
сервере нужно знать, примет ли клиент "российский сертификат", или 
же доверяет только тем корневым CA, наличия которых можно ожидать 
в стандартных браузерах.  Такой информации в рамках установления 
SSL-соединения на сервере просто нет.  Соответственно выбор придётся 
делать на основе отдельного имени сервера, если вы хотите выбор.

-- 
Maxim Dounin
http://mdounin.ru/