Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

nginx 0.8.33 с OpenSSL 0.9.8m, проверка клиентских сертификато в.

To: nginx-ru <nginx-ru@xxxxxxxxx>
Subject: nginx 0.8.33 с OpenSSL 0.9.8m, проверка клиентских сертификато в.
From: Yuriy Taraday <yorik.sar@xxxxxxxxx>
Date: Thu, 4 Mar 2010 13:55:21 +0300
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:from:date:message-id :subject:to:content-type:content-transfer-encoding; bh=Flng7kmRBSuEB+Fsv/8mzXY5vl7s+SkiH9QzuHldqNY=; b=LrZyw2cFxe8yVGGdQEzK8Ka5tRfa1NVXFCOH1/LDbOFw5KQ7MjLqtyvHvx2E8EID3x /iGn5lyXo9dKJHH7veRpGU2bSfhbF3XRMaswNnpbGmCXBVctqWkCalcIxUQHOQcHdNE1 fW7RvF3gak+sxWmOM6HcoT0E3UK5yQYCyRjLU=
Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:from:date:message-id:subject:to:content-type :content-transfer-encoding; b=RTPIihEd3gHTmb746z8c3mdwoYqXuTY6VqrX1/MIi1iQQmjgmDYf8D3mHITuHf9/S8 iBgst2TVA9Daquj54MjE1YDPhWHcgueAC5VxafYL0cUi4Y9MEIwi21aHMIqQaD4drRO2 ZF5fFG8bfJvaZmQwJJ4uM0TtiKpdou4C6+QfA=

Добрый день.

Система - FreeBSD 7.2, nginx 0.8.33 и OpenSSL 0.9.8m - из портов.
Конфиг nginx (только строчки, касающиеся ssl):
        ssl  on;
        ssl_certificate      root_ca_zone/server.cert.pem;
        ssl_certificate_key  root_ca_zone/server.key.pem.unencrypted;

        ssl_session_cache builtin;
        ssl_session_timeout  3h;

        ssl_client_certificate server.chain.pem;
        ssl_verify_client optional;
        #ssl_verify_depth 2;

        ssl_protocols  TLSv1;
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;

В server.chain.pem - 2 сертификата, корневой и промежуточный.
Серверный и клиентский сертификаты выписаны промежуточным CA.

Проверка сертификата с таким конфигом проходит успешно с OpenSSL
0.9.8l и неуспешно с OpenSSL 0.9.8m, если же убрать комментарий от
ssl_verify_depth, работает и в 0.9.8m.
По логам, nginx не уходит глубже depth=1 с новой версией OpenSSL.

Судя по всему, это связано со следующим новшеством 0.9.8m:
  *) Fix the server certificate chain building code to use X509_verify_cert(),
     it used to have an ad-hoc builder which was unable to cope with anything
     other than a simple chain.
     [David Woodhouse <dwmw2@xxxxxxxxxxxxx>, Steve Henson]

Ожидаемо ли такое изменение в поведении? Так и должно быть?

С уважением, Юрий.
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
  - From: Igor Sysoev

Prev by Date: Re: nginx-0.8.34
Next by Date: Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
Previous by thread: [bug_report] 0.8.44 кэширование post
Next by thread: Re: nginx 0.8.33 с OpenSSL 0.9.8m, провер ка клиентских сертифика тов.
Index(es):
- Date
- Thread