ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: проблемы с ssl backend


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: проблемы с ssl backend
  • From: Sergey Petrov <sergey.siroezhkin@xxxxxxxxx>
  • Date: Thu, 2 Jul 2009 17:53:03 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=ezBsqnl7UKXhaU7TUR7ucNbQ2tBG6jheoM8/fYJqm/8=; b=BUAOytizuENfaTGnMzE+ZsAQM041JxOsnXKLD/GtVYzcmjZCwaNqG73xfwfDML2Zm2 K1phhICf9aLx6pWvfr2jOVRpMYGXdCJeAU4EVAlxOPa1cqUqv5U/P0xlUZ59LhK/3Gz+ LCq27KBv+GKmNNXU0w6dYDNxxDLXX6tKoQqGY=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=X/ScOIbRAb07GAaVHnNiRNw2Qb79Zuy/O/q4YzCvPlFGil+7bDZizcL3bb7PuyyCyM 7Koq3Tx80pOMeGs6TCTGfUXmOT57R7NKsU7d9yefYNokZRfP+Hz8R9e+dI0JaEEoMVcH PVeVFN/GZgGGewBQPX3kYGawoWR6pO8AJRCTY=
  • In-reply-to: <20090701154522.GI5360@xxxxxxxxxx>
  • References: <e51457740906301737s1cb49085g86a362ac1432465a@xxxxxxxxxxxxxx> <20090701154522.GI5360@xxxxxxxxxx>

Спасибо, отключение ssl session reuse действительно помогло.

2009/7/1 Maxim Dounin <mdounin@xxxxxxxxxx>:
> Hello!
>
> On Wed, Jul 01, 2009 at 04:37:25AM +0400, Sergey Petrov wrote:
>
>> nginx работает как фронтенд для HTTPS сервера(Tomcat), возникла
>> проблема коммуникации с бэкэндом.
>> конфиг:
>>
>> location / {
>>     proxy_pass https://XXX.XXX.XXX.XXX:443;
>> }
>>
>>
>> первый запрос проходит нормально, все остальные возвращают 502.
>> пробовал обновить OS(Linux FC10-FC11), openssl(0.9.8g до 0.9.8k), не помогло,
>> при этом не возникло проблем под FreeBSD на подобном конфиге;
>> возможно что-то не так в обработчике epoll, хотя на CentOS проблему
>> воспроизвести также не удалось.
>
> Вероятно поможет downgrade openssl до 0.9.8e. Как workaround
> можно попробовать
>
>    proxy_ssl_session_reuse  off;
>
> Проблема судя по всему кроется где-то в районе появления в openssl
> поддержки TLS extensions, в частности - RFC4507bis session
> tickets.
>
> По хорошему наверное все openssl'евкие ручки надо выносить в
> конфиги дабы обеспечить возможность включения всяких
> workaround'ов, но меня эта идея совсем не привлекает.
>
> Maxim Dounin
>
>


 




Copyright © Lexa Software, 1996-2009.