ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.2.0



Igor Sysoev wrote:
> 
> SSLProtocol all -SSLv2
> это по сути
> SSLCipherSuite  ALL:!SSLv2

По конечному эффекту - возможно, но лучше бы выставлять SSL_OP_NO_SSLv2
через SSL_CTX_set_options() сразу при конфигурации сервера.

SSLProtocol не слишком удачное название. Лучше бы что-то вроде
"ssl_ctx_options" (что сразу говорит о том, что применяющий эту директиву
понимает что делает). Хочется иметь возможность поиграться с разными
опциями, типа SSL_OP_CIPHER_SERVER_PREFERENCE или
SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION. Вдруг удастся склонить IE к
желаемому cipher.

>> Также, чтобы реализовать аналог SSLRequireSSL хотелось бы видеть
>> признак $ssl.
>>
>> Хотя это можно сделать и в рамках директивы типа "ssl_details conn |
>> cert |
>> ..." - где ещё выставлять переменные $ssl_session_id, $ssl_cipher,
>> $ssl_cipher_algkeysize, $ssl_cipher_usekeysize и т.п. Разумеется
>> хочется их
>> использовать и в логах (что, как я понимаю, почти всегда доступно).
> 
>> Кстати, в документации по модулям желательно отдельно видеть список
>> переменных, с областями видимости (request/connection/scope).
> 
> Переменные сделать несложно. А что за ssl_details ?

В целях производительности. Т.е. если нет директивы "ssl_details conn" - то
переменные по данным соединения не выставляются (поскольку не нужны).
Аналоги "SSLOptions StdEnvVars | ExportCertData" - только там переменных
излишне много. Imho оригинальное "SSLOptions" дурацкое название - только путает.

>> Аналоги SSLVerify*, SSLCACertificate* желательны чисто для полноты
>> картины.
> 
> Проверку клиента сделать не сложно, но это не в первую очередь.

Неспешно, но желательно - лучше опять же через переменную типа
$ssl_client_verify. Хотя поскольку значений в ней много, текущих
возможностей "if" уже мало - хочется либо операции сравнения вкупе с
elsif/else, либо даже switch/case.

-- 
Sergey Skvortsov
mailto: skv@xxxxxxxxx




 




Copyright © Lexa Software, 1996-2009.