Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: ssl_session_ticket_key and SNI
- To: nginx-ru@xxxxxxxxx
- Subject: Re: ssl_session_ticket_key and SNI
- From: Anton Yuzhaninov <citrin@xxxxxxxxx>
- Date: Tue, 06 May 2014 21:18:03 +0400
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=citrin.ru; s=s0; t=1399396683; bh=bhRmM/ykkGbPmvtgBORVANUAaOGpEZlKHa8soLQLDDE=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=lT2PmiaDMJNljPWXWE+/4q/0bsddVohPQNswbVeR8qCkuMJ33ILR1DZodzLoOCzaa k16Z1kBpOVasWusAjQJXcTeOwcAOvwnl0cbB2PRFrcPgnmMsj9x2LDzwvpzr5EFj8f Ij+Og1YlLmkA1orx8TZci6iA0H+WHo5qQEUlexd8=
- In-reply-to: <5368CB9C.1020407@citrin.ru>
- References: <5368CB9C.1020407@citrin.ru>
On 05/06/14 15:46, Anton Yuzhaninov wrote:
Желаемое поведение:
- для example.ru использовать ticket key из файла.
- для example.com (и всех остальных блоков server) использовать случайный ticket
key, генерируемый в nginx при старте.
Возможно такое нельзя сделать с openssl если два сервера слушают один и тот же
ip:port (протокол TLS такое должен позволять, ограничение если и есть то в openssl).
Но в таком случае хотелось бы более внятной диагностики (желательно на этапе
конфигурации).
Молча дропать подключения из некоторых браузеров (с браузерами без поддержки
session tickets данный конфиг работает) это аккуратно разложенные грабли.
Аналогично нельзя в одном из серверов (на одном ip:port) прописать
ssl_session_tickets off; - проблемы такие же (сообщения в логах другие, но так
же мало говорящие о сути проблемы).
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|