Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: nginx-0.2.0
Igor Sysoev wrote:
>
> SSLProtocol all -SSLv2
> это по сути
> SSLCipherSuite ALL:!SSLv2
По конечному эффекту - возможно, но лучше бы выставлять SSL_OP_NO_SSLv2
через SSL_CTX_set_options() сразу при конфигурации сервера.
SSLProtocol не слишком удачное название. Лучше бы что-то вроде
"ssl_ctx_options" (что сразу говорит о том, что применяющий эту директиву
понимает что делает). Хочется иметь возможность поиграться с разными
опциями, типа SSL_OP_CIPHER_SERVER_PREFERENCE или
SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION. Вдруг удастся склонить IE к
желаемому cipher.
>> Также, чтобы реализовать аналог SSLRequireSSL хотелось бы видеть
>> признак $ssl.
>>
>> Хотя это можно сделать и в рамках директивы типа "ssl_details conn |
>> cert |
>> ..." - где ещё выставлять переменные $ssl_session_id, $ssl_cipher,
>> $ssl_cipher_algkeysize, $ssl_cipher_usekeysize и т.п. Разумеется
>> хочется их
>> использовать и в логах (что, как я понимаю, почти всегда доступно).
>
>> Кстати, в документации по модулям желательно отдельно видеть список
>> переменных, с областями видимости (request/connection/scope).
>
> Переменные сделать несложно. А что за ssl_details ?
В целях производительности. Т.е. если нет директивы "ssl_details conn" - то
переменные по данным соединения не выставляются (поскольку не нужны).
Аналоги "SSLOptions StdEnvVars | ExportCertData" - только там переменных
излишне много. Imho оригинальное "SSLOptions" дурацкое название - только путает.
>> Аналоги SSLVerify*, SSLCACertificate* желательны чисто для полноты
>> картины.
>
> Проверку клиента сделать не сложно, но это не в первую очередь.
Неспешно, но желательно - лучше опять же через переменную типа
$ssl_client_verify. Хотя поскольку значений в ней много, текущих
возможностей "if" уже мало - хочется либо операции сравнения вкупе с
elsif/else, либо даже switch/case.
--
Sergey Skvortsov
mailto: skv@xxxxxxxxx
|