Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: проблемы с ssl backend
- To: nginx-ru@xxxxxxxxx
- Subject: Re: проблемы с ssl backend
- From: Sergey Petrov <sergey.siroezhkin@xxxxxxxxx>
- Date: Thu, 2 Jul 2009 17:53:03 +0400
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=ezBsqnl7UKXhaU7TUR7ucNbQ2tBG6jheoM8/fYJqm/8=; b=BUAOytizuENfaTGnMzE+ZsAQM041JxOsnXKLD/GtVYzcmjZCwaNqG73xfwfDML2Zm2 K1phhICf9aLx6pWvfr2jOVRpMYGXdCJeAU4EVAlxOPa1cqUqv5U/P0xlUZ59LhK/3Gz+ LCq27KBv+GKmNNXU0w6dYDNxxDLXX6tKoQqGY=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=X/ScOIbRAb07GAaVHnNiRNw2Qb79Zuy/O/q4YzCvPlFGil+7bDZizcL3bb7PuyyCyM 7Koq3Tx80pOMeGs6TCTGfUXmOT57R7NKsU7d9yefYNokZRfP+Hz8R9e+dI0JaEEoMVcH PVeVFN/GZgGGewBQPX3kYGawoWR6pO8AJRCTY=
- In-reply-to: <20090701154522.GI5360@xxxxxxxxxx>
- References: <e51457740906301737s1cb49085g86a362ac1432465a@xxxxxxxxxxxxxx> <20090701154522.GI5360@xxxxxxxxxx>
Спасибо, отключение ssl session reuse действительно помогло.
2009/7/1 Maxim Dounin <mdounin@xxxxxxxxxx>:
> Hello!
>
> On Wed, Jul 01, 2009 at 04:37:25AM +0400, Sergey Petrov wrote:
>
>> nginx работает как фронтенд для HTTPS сервера(Tomcat), возникла
>> проблема коммуникации с бэкэндом.
>> конфиг:
>>
>> location / {
>> proxy_pass https://XXX.XXX.XXX.XXX:443;
>> }
>>
>>
>> первый запрос проходит нормально, все остальные возвращают 502.
>> пробовал обновить OS(Linux FC10-FC11), openssl(0.9.8g до 0.9.8k), не помогло,
>> при этом не возникло проблем под FreeBSD на подобном конфиге;
>> возможно что-то не так в обработчике epoll, хотя на CentOS проблему
>> воспроизвести также не удалось.
>
> Вероятно поможет downgrade openssl до 0.9.8e. Как workaround
> можно попробовать
>
> proxy_ssl_session_reuse off;
>
> Проблема судя по всему кроется где-то в районе появления в openssl
> поддержки TLS extensions, в частности - RFC4507bis session
> tickets.
>
> По хорошему наверное все openssl'евкие ручки надо выносить в
> конфиги дабы обеспечить возможность включения всяких
> workaround'ов, но меня эта идея совсем не привлекает.
>
> Maxim Dounin
>
>
|