ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Bug: SSL ssl_protocols order

  • To: nginx-ru@xxxxxxxxx
  • Subject: Bug: SSL ssl_protocols order
  • From: Alex Eagle <eagle.alex@xxxxxxxxx>
  • Date: Mon, 19 Oct 2009 22:04:47 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:from:date:message-id :subject:to:content-type:content-transfer-encoding; bh=acQTIdJX0k0pGulVHwiHUD1soCihY3evlN3fSNDiOSg=; b=xQwbKfd+kbAhB0Autd3O0EG5ydeDc6u4E9v6E3zV15Uy9SpDRucwfooHfdWSJRr2fV 9JYGcevwkkh8QKmHBGt0D5kVq8/E7+l01cfNZE2fuc6BQxwzvKMkAwcorQk29UOjgvyf PU2SIuM4h0zIJZ3DIRTpgQ3Wx7RMkj6Dyb+gQ=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:from:date:message-id:subject:to:content-type :content-transfer-encoding; b=Sa3ZqYdUERLAtFGVu6zvIwUjyKm7P0pvxbuc2XcGJ94wTI5ugt3zUV1Wg7i9uGZ3GS d5O/LLjRSljk4EtZGpfC9L/h/gXwrMVn6uQTTnjYbm32ZOQmGd3yhwEG1/Nyu/1dztHw tVmOukwvD6HUe1bQSg0sKXrdUMsdCJ6n2kpc4=
Доброго времени суток!

Имеем:
1. nginx c 2-мя настроеными SSL виртуальными хостами, пусть А и В.

2. Для А в server {..} имеем директивы:
  ssl_protocols  SSLv3 TLSv1;
  ssl_ciphers 
DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EDH-RSA-DES-CBC3-SHA:AES256-SHA:DES-CBC3-SHA:AES128-SHA:RC4-SHA:RC4-MD5;

  Для В там же в server {..} имеем дефолтные, явно прописанные:
  ssl_protocols  SSLv2 SSLv3 TLSv1;
  ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

3. При попытке обратиться к сайту А из:
   * IE c отключенным SSLv2 получаем малоговорящую ошибку "Невозможно
установить соединение с сервером"
   * Chrome чуть более вразумительно: "Ошибка 107
(net::ERR_SSL_PROTOCOL_ERROR): Неизвестная ошибка."
   * FF при этом работает нормально, ни на что не ругается, да и нет
там такой настройки "разрешить SSLv2", видимо разрешено по умолчанию.

4. Разрешение SSLv2 в IE, Chrome - сайт показывает, но это означает
что для сайта А nginx начинает использовать _только_ SSLv2.

5. Если конфигурации грузятся в порядке: А, затем В - все нормально.
    Но если В, затем А (как у меня было изначально судя по всему) -
имеем то что имеем.
    Ситуация совершенно воспроизводима.


Подозреваю что это все-же баг.


-- 
Alexander Oryol aka eagleas <eagle.alex@xxxxxxxxx>

 



Copyright © Lexa Software, 1996-2009.