ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ssl_protocols regression

On Mon, Oct 24, 2011 at 11:13:22PM +0300, Gena Makhomed wrote:
> Здравствуйте!
> 
> поведение директивы ssl_protocols изменилось не в лучшую сторону.
> 
> вот такой фрагмент конфига:
> 
>      ssl_protocols SSLv3 TLSv1;
>      ssl_session_cache  shared:SSL:4M;
>      ssl_session_timeout 120m;
> 
> если на сервере используется nginx 1.0.0,
> то Google Chrome 14.0.835.202 m устанавливает с ним соединение
> по протоколу TLS 1.0,
> 
> если на сервере стоит nginx 1.0.8,
> то Google Chrome 14.0.835.202 m устанавливает с ним соединение
> по протоколу SSL 3.0 и при этом ругается что на сервере стоит
> какой-то древний софт, в котором могут быть и другие ошибки.
> 
> наверное это regression в nginx?
> 
> или это зависит не от nginx, а используемой библиотеки openssl ?
> 
> пробовал менять местами на втором сервере:
> 
> -   ssl_protocols SSLv3 TLSv1;
> +   ssl_protocols TLSv1 SSLv3;
> 
> ничего не меняется, всеравно SSL 3.0.
> 
> дополнительная информация:
> 
> конфиги на серверах практически одинаковые.
> 
> SSL-сертификат на каждом из серверов один и тот же,
> PositiveSSL за 8.95 USD от https://www.cheapssls.com/
> на первом сервере domain.net, на втором - www.domain.net
> 
> первый сервер:
> 
> # uname -a
> Linux ************* 2.6.18-274.7.1.el5 #1 SMP Thu Oct 20 16:20:37 EDT 
> 2011 i686 athlon i386 GNU/Linux
> 
> # rpm -q openssl
> openssl-0.9.8e-20.el5
> 
> # nginx -V
> nginx: nginx version: nginx/1.0.0
> nginx: built by gcc 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC)
> nginx: TLS SNI support disabled
> nginx: configure arguments: --prefix=/etc/nginx 
> --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/conf/nginx.conf 
> --error-log-path=/var/log/nginx/error.log --pid-path=/var/run/nginx.pid 
> --lock-path=/var/lock/subsys/nginx --user=nginx --group=nginx 
> --without-select_module --without-poll_module --with-file-aio 
> --with-http_ssl_module --with-http_realip_module 
> --with-http_addition_module --with-http_xslt_module 
> --with-http_image_filter_module --with-http_sub_module 
> --with-http_dav_module --with-http_flv_module 
> --with-http_gzip_static_module --with-http_random_index_module 
> --with-http_secure_link_module --with-http_degradation_module 
> --with-http_stub_status_module --with-http_perl_module 
> --http-log-path=/var/log/nginx/access.log 
> --http-client-body-temp-path=/var/lib/nginx/tmp/client_body 
> --http-proxy-temp-path=/var/lib/nginx/tmp/proxy 
> --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi 
> --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi 
> --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --with-cc=/usr/bin/gcc44 
> --with-cc-opt='-O2 -g -m32 -march=i386 -mtune=generic 
> -fasynchronous-unwind-tables' --with-pcre --with-md5-asm --with-sha1-asm 
> --with-zlib-asm=pentiumpro --with-debug
> 
> 
> второй сервер:
> 
> ]# uname -a
> Linux ************* 2.6.32-042stab037.1 #1 SMP Fri Sep 16 22:18:06 MSD 
> 2011 x86_64 x86_64 x86_64 GNU/Linux
> 
> # rpm -q openssl
> openssl-1.0.0-4.el6_0.2.x86_64
> 
> # nginx -V
> nginx: nginx version: nginx/1.0.8
> nginx: built by gcc 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC)
> nginx: TLS SNI support enabled
> nginx: configure arguments: --prefix=/etc/nginx 
> --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/conf/nginx.conf 
> --error-log-path=/var/log/nginx/error.log --pid-path=/var/run/nginx.pid 
> --lock-path=/var/lock/subsys/nginx --user=nginx --group=nginx 
> --without-select_module --without-poll_module --with-file-aio 
> --with-http_ssl_module --with-http_realip_module 
> --with-http_addition_module --with-http_sub_module 
> --with-http_dav_module --with-http_flv_module --with-http_mp4_module 
> --with-http_gzip_static_module --with-http_random_index_module 
> --with-http_secure_link_module --with-http_degradation_module 
> --with-http_stub_status_module --http-log-path=/var/log/nginx/access.log 
> --http-client-body-temp-path=/var/lib/nginx/tmp/client_body 
> --http-proxy-temp-path=/var/lib/nginx/tmp/proxy 
> --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi 
> --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi 
> --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --with-cc-opt='-O2 -g' 
> --with-pcre --with-md5-asm --with-sha1-asm --with-zlib-asm=pentiumpro 
> --with-debug

Между 1.0.0 и 1.0.8 существенное измение в области SSL только одно:

Changes with nginx 1.0.6                                         29 Aug 2011

    *) Feature: now nginx supports ECDHE key exchange ciphers.
       Thanks to Adrian Kotelba.

Я не думаю, что проблема в nginx'е. Скорее, это openssl. 


-- 
Игорь Сысоев
http://sysoev.ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.