On 02.09.2015 15:53, ekassir wrote:
SNI включен, но не помогает.
Клиенты работающие по протоколу SSLv3 не поддерживают SNI. Умеет клиент SNI или нет - можно посмотреть здесь: https://www.ssllabs.com/ssltest/viewMyClient.html https://www.ssllabs.com/ssltest/clients.html
А вот открытие различных сокетов - решение, но в таком случает придётся как-то разделять на периметре сайты для разных протоколов. Опять же либо по разным внешним IP
До того как появилось SNI - это был вообще единственный вариант. Да и сейчас, это единственный гарантированно работающий вариант. Есть еще один вариант - можно в конфиге проверять $ssl_protocol и если это сайт высокой степени надежности - закрывать соединение или показывать явное сообщение про ошибку, если к нему обратились по более низкой версии протокола, по которой он работать не должен. Тогда - у части серверов будет разрешен протокол SSLv3 и TLS1.0, а у всех остальных - только старшие протоколы TLSv1.1 и TLSv1.2. -- Best regards, Gena _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
