ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Fwd: Авторизация с помощью SSL



Hello!

On Wed, Sep 25, 2013 at 12:36:40AM +0300, Alex Domoradov wrote:

> Понятно, а будут ли какие то негативные последствия, если я знаю, что
> необхходимая глубина 1, но выставлю знаениче 2 или 3. Это создаст
> лишнюю нагрузку или проверка в таком случае вообще не будет проходить?

Директива ssl_verify_depth задаёт максимальную глубину, дальше 
которой проверка делаться не будет.  Так что в нормальном случае 
проверки валидного сертификата, проверка которого ранее проходила, - 
ничего не изменится.  Меняются только аспекты, относящиеся к 
более "глубоким" проверкам:

1. Промежуточные CA начинают работать.  И если вдруг есть 
выпущенные промежуточные CA - то надо понимать, что выпущенные ими 
клиентские сертификаты тоже начнут работать.  Даже если никаких 
промежуточных сертификатов в nginx не добавлено - ибо в рамках 
протокола у клиента имеется возможность самостоятельно прислать 
промежуточные CA.

2. Возрастает количество проверок подписей, которое "нехороший" 
клиент может заставить сделать сервер за одно соединение.  Это 
следует учитывать с точки зрения защиты от возможного DoS'а.

-- 
Maxim Dounin
http://nginx.org/en/donation.html

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.