Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Fwd: Авторизация с помощью SSL
Hello!
On Wed, Sep 25, 2013 at 12:36:40AM +0300, Alex Domoradov wrote:
> Понятно, а будут ли какие то негативные последствия, если я знаю, что
> необхходимая глубина 1, но выставлю знаениче 2 или 3. Это создаст
> лишнюю нагрузку или проверка в таком случае вообще не будет проходить?
Директива ssl_verify_depth задаёт максимальную глубину, дальше
которой проверка делаться не будет. Так что в нормальном случае
проверки валидного сертификата, проверка которого ранее проходила, -
ничего не изменится. Меняются только аспекты, относящиеся к
более "глубоким" проверкам:
1. Промежуточные CA начинают работать. И если вдруг есть
выпущенные промежуточные CA - то надо понимать, что выпущенные ими
клиентские сертификаты тоже начнут работать. Даже если никаких
промежуточных сертификатов в nginx не добавлено - ибо в рамках
протокола у клиента имеется возможность самостоятельно прислать
промежуточные CA.
2. Возрастает количество проверок подписей, которое "нехороший"
клиент может заставить сделать сервер за одно соединение. Это
следует учитывать с точки зрения защиты от возможного DoS'а.
--
Maxim Dounin
http://nginx.org/en/donation.html
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|