ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

ssl_session_ticket_key and SNI


  • To: nginx-ru@xxxxxxxxx
  • Subject: ssl_session_ticket_key and SNI
  • From: Anton Yuzhaninov <citrin@xxxxxxxxx>
  • Date: Tue, 06 May 2014 15:46:36 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=citrin.ru; s=s0; t=1399376797; bh=AWcViF/GSGiPk394P3ZnYlST2RJ23I+E6qe5c7UhcCU=; h=Message-ID:Date:From:MIME-Version:To:Subject:Content-Type: Content-Transfer-Encoding; b=fqNhZMb3HvpUFCPn181vTIB82e2ls6T+hfUAdrVvK/f+aeoab2Td2r20Ex8iPU/E4 LEhyW+nTGeez4w3RwCkvra8w0L3t6ZiqtCXXuHIL9CCcDf/4bY5wpwB50cFRXki9SL oUH5+q4QisRdEF4uJbc9zo3/jLKCDBUFa7EMQzgY=

Здравствуйте!

Наблюдаю проблему с таким конфигом:

http {
        default_type text/plain;

        access_log logs/access.log combined;


        server {
                server_name example.ru;
                listen 443 default;

                ssl on;
                ssl_certificate     example.ru.crt;
                ssl_certificate_key example.ru.key;

                ssl_session_ticket_key ticket.key;

                location / {
                        return 200 "example.ru\n";
                }
        }

        server {
                server_name example.com;
                listen 443;

                ssl on;
                ssl_certificate     example.com.crt;
                ssl_certificate_key example.com.key;

                location / {
                        return 200 "example.com\n";
                }
        }
}

Желаемое поведение:
- для example.ru использовать ticket key из файла.
- для example.com (и всех остальных блоков server) использовать случайный ticket key, генерируемый в nginx при старте.

Что наблюдается:
- Без SNI работает и отдается сертификат example.ru
- Если в SNI указать example.ru - работает и отдается сертификат example.ru
- Если в SNI указать example.com - соединение рвётся с очень неясной 
диагностикой.
- Если в SNI указать example.com, но отключить tickets на клиенте - работает.

Версии
nginx 1.7.0
OpenSSL 1.0.1g-freebsd 7 Apr 2014

Если убрать ssl_session_ticket_key задавать на уровне http, то всё работает. Но хочется брать tickets из файла только для одного сервера.

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.