On Tuesday 17 June 2014 13:31:16 Gena Makhomed wrote: [..] > >> "SHOULD NOT" - это не запрет, а только лишь рекомендация: > >> http://tools.ietf.org/html/rfc2119#section-4 > >> так что формально и фактически Chrome ничего не нарушает. > > > > Фактически - упомянутый "SHOULD NOT" на тот момент безусловно > > отклонялся Apache'ом, > > И это безусловный BUG апача, копировать его в nginx - нет смысла. > Apache ведь не является reference implementation протокола HTTP/1.1 > [..]
Там было и другое: 11.1. Security Considerations for server_name If a single server hosts several domains, then clearly it is necessary for the owners of each domain to ensure that this satisfies their security needs. Apart from this, server_name does not appear to introduce significant security issues. Since it is possible for a client to present a different server_name in the application protocol, application server implementations that rely upon these names being the same MUST check to make sure the client did not present a different name in the application protocol. http://tools.ietf.org/html/rfc6066#section-11.1 В частности, клиент может запросить по SNI один виртуальный хост, и исходя из этого будет проверен его клиентский сертификат, а также выбраны настройки шифрования, а затем на уровне HTTP, запрашивать совсем другие виртуальные хосты, тем самым обходя настройки TLS для этих хостов. -- Валентин Бартенев _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru