ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: http и https на одном севере



On Thu, 18 Jan 2007, Andrew Kopeyko wrote:

On Thu, 18 Jan 2007, Igor Sysoev wrote:

On Thu, 18 Jan 2007, Andrew Kopeyko wrote:

On Thu, 18 Jan 2007, Igor Sysoev wrote:

On Thu, 18 Jan 2007, Dmitry Morozovsky wrote:

On Thu, 18 Jan 2007, Igor Sysoev wrote:

IS> > IS> Может быть, действительно сделать
IS> > IS>
IS> > IS>     server {
IS> > IS>        listen   80;
IS> > IS>        listen   443 default ssl;
IS> > IS>
IS> > IS>        ...
IS> > IS>
IS> > IS>        location /some/ {
IS> > IS>            if ($ssl = "") {
IS> > IS>                ...
IS> > IS>            }
IS> > IS>        }
IS> > IS>
IS> > IS> ?
IS> > IS> Правда, я пока не вижу, есть ли здесь какие-нибудь подводные камни.
IS> >
IS> > Выглядит красиво и логично. Некоторые проблемы с выбором (точнее, с
IS> > обоснованием выбора) имени SSL-ного хоста, но они есть и сейчас.
IS>
IS> Не понял, о каком выборе идёт речь ?

имени https хоста из server_name

  server {
      listen   80;
      listen   443 default ssl;

      server_name  www.example.com  *.example.com;

и сертификат для www.example.com или *.example.com.

Теперь у клиента возникнут проблемы - если, придя на nechto.example.com ему покажут сертификат для "www.example.com"... Особенно строго с этим в IE7.

Данная конструкция нужна для случаев, когда http://www.example.com
и https://www.example.com отличаются только буковкой 's'.

Для такого и только для такого случая.

Но стоит ли такой специфический случай отдельного внимания? Придётся ведь

Это не специфичный случай, а самый распространённый.

проверять что в server_name указано единственное имя, и не содержащее метасимволов. В противном случае - ругаться.

Нет, проверку я оставлю на усмотрение админа.

Да, и порт нужно будет проверять - ибо работать будет только на дефолтных 80/443

Почему ?


Игорь Сысоев
http://sysoev.ru



 




Copyright © Lexa Software, 1996-2009.