ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.7.62 и ssl


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: nginx-0.7.62 и ssl
  • From: Володимир Костирко <c.kworr@xxxxxxxxx>
  • Date: Thu, 17 Sep 2009 17:22:55 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=YeuZF7sNcOikhFN6+URYLLeVegcaGlov4a/V+G3ZSnM=; b=fkI2mgv2bsaLEl6AgvP4L5pWgAxWFvJU1OC/dKP6rpI6ZugtWJMe7XC1KOA5g+Sbz3 g4m165szUYliOvkS+0Kr/dwO75c4M5uSVWGqzQ6uNXIr/i6sMMhnZ7+Xo3U9KFQ1n1Y3 whrMhn8dpNxmfVbFc1y5BVwCuhdl+ihd5yAiQ=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=Oi0d86UEYWRMNBCm8lMo0RBzRuFASW+Y8xN8uh5XtFXbt0IoHuJgAFkrDvtt2rRuoZ ACJX7xi+sI0fBHrnm+6S5gRKNVRsxIzr9/rkFDmjMSpvHa3ko1xmUkw3atth1hLCK0o1 wfQynoflMZuePcmlx3QFLKFbyJawFZ6JGnj44=
  • In-reply-to: <20090917071548.GG41150@xxxxxxxxxxxxx>
  • References: <h8sg7u$t5j$1@xxxxxxxxxxxxx> <20090917052152.GE41150@xxxxxxxxxxxxx> <4AB1DCFB.30600@xxxxxxxxx> <20090917071548.GG41150@xxxxxxxxxxxxx>

Igor Sysoev написав(ла):
# nginx -t
[emerg]: SSL_CTX_set_tlsext_servername_callback() failed (SSL:)
configuration file /usr/local/etc/nginx/nginx.conf test failed

Кусок конфига:
   ssl on;
   ssl_protocols SSLv3 TLSv1;
   ssl_prefer_server_ciphers on;
   ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
   ssl_certificate /var/ca/xim.bz/wiki,bugs.cert;
   ssl_certificate_key /var/ca/xim.bz/wiki,bugs.pk;
   ssl_session_cache shared:SSL:10m;
   ssl_session_timeout 10m;

Срубается на строке ssl_certificate, сертификат с парой санов, сабжект тоже присутствует.
Патч, после которого nginx будет только выдавать предупрждение.

Какая OS, как ставился nginx - из бинарного пакета или собирался на этой
же машине ?
FreeBSD 7.2-p3, порты, bundled ssl. Сертификат генерился им же.

Вообще там немного странно, bundled ssl точно tlsext умеет, но не в том наборе в каком он появился в openssl. Рапортует он естественно более старую версию, а tlsext был воткнут в мир бэкпортом.

Значит, плохо забэкпортили.

PS: Чуть не забыл, по-моему там как-раз для проверки сертификатов не хватало опции для указывания какой именно сан мы проверяем.

Что такое bundled ssl и сан ?

bundled ssl - тот который идёт в поставке с операционкой.
сан (Subject Alternate Name) - расширение сертификата позволяющие перечислить кроме Subject Name ещё несколько хостов.

Проблема не в сертификате, проблема в том, что библиотека говорит,
что tlsext она не знает. Начиная со следующей версии nginx будет
просто предупреждать о проблеме, потому что она стала возникать
достатончо часто, хотя сам SNI пока вроде широко не используется.

Кстати да, прошёлся по сорцам - библиотека действительно не объявляет необходимые макросы от tlsext в отличии от версии из портов. Пойду попинаю мейнтейнеров...

--
Sphinx of black quartz judge my vow.



 




Copyright © Lexa Software, 1996-2009.