Hello! On Thu, Apr 04, 2019 at 10:36:33PM +0500, Dmitry Sergeev wrote:
> Добрый день. > ОС: Ubuntu 16.04 > > Nginx версия с которой проблемы: > nginx version: nginx/1.14.2 > built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.11) > built with OpenSSL 1.0.2g 1 Mar 2016 > TLS SNI support enabled > > Обновились до последней стабильной сборки nginx. Количество ошибок 4xx > значительно повышается: А именно 499 в два раза, 400 в 20 раз, 408 в 14 > раз, в целом всего 4xx ошибок становится в 3-4 раза больше. > > Раннее мы работали на nginx 1.12.1 собственной сборки с openssl 1.0.1u, > когда-то я собирали эту версию по тем же причинам (сборка nginx 1.12.1 > из репозитория себя вела точно также - куча ошибок). > > Поэтому сейчас снова пришлось собрать уже новую версию nginx (1.14.2) но > со старым openssl 1.0.1u. > > Привожу скрин для наглядности: http://joxi.net/n2YQdVZSbozM02.jpg > Здесь статистка по ошибкам из двух одинаковых серверов за 30 минутный > интервал времени. > Где lb21 имеет nginx 1.14.2 + openssl 1.0.1u, а lb21-2 nginx 1.14.2 + > openssl 1.0.2g > > Вот так выглядет процесс отката до nginx 1.14.2 + openssl 1.0.1u c точки > зрения количества ошибок: http://joxi.net/EA4RKZXHowQDQm.jpg (здесь > каждый столбик это количество за минуту). Количество ошибок на уровне HTTP - может быть нерелевантно происходящему, и, скажем, означать, что больше проблемных клиентов теперь могут пройти через SSL handshake. Ну и смотреть надо не на абсолютные цифры, а на проценты от трафика. Если речь про доли процента - наблюдаемое изменение может быть следствием того, что проблемы возникают у каких-либо малораспространённых клинтов, и совершенно не факт, что на это надо обращать внимание. Например, из OpenSSL 1.0.2 могли убрать какие-то workaround'ы для ошибочного поведения, или же из-за изменения списка шифров теперь используются другие шифры, которые, наоборот, вызывают проблемы в этих клиентах. Если же хочется таки разобраться - то имеет смысл смотреть подробную информацию по ошибкам, в частности - что при этом пишет nginx в логи (если есть подробности - они скорее всего на уровне info), и что известно про этих клиентов - User-Agent, используемые протоколы, шифры и так далее. > Конфигурации одинаковые, количество трафика одинаковое. Пробовал менять > местами версии nginx между этими серверами, сразу видно как начинает > расти количество ошибок на том сервере где используется nginx 1.14.2 + > openssl 1.0.2g. Тенденция роста количества 499, 400, 408 ошибок видна > моментально после обновления версии. > > Пробовал разные версии openssl (ветки 1.0.2, 1.1.1). Все что выше 1.0.1u > дает такой результат. Пробовал отключать/включать http2 никак не влияет. В первую очередь - в OpenSSL 1.0.1 нет ALPN, то есть HTTP/2 в современных браузерах работать не будет. Если в конфиге включён HTTP/2 - переход на OpenSSL 1.0.2 будет сильным изменением поведения в любом случае. Так что имеет смысл HTTP/2 выключить и сравнивать строго без HTTP/2. Важно при этом выключить везде, потому как http2 - это опция сокета, и если она останется в любом из блоков server, то HTTP/2 продолжит работать. > Конфиугация ssl в nginx стоит по умолчанию (то есть только указаны > диррективы ssl_certificate, ssl_certificate_key). Если вдруг используются множественные сертификаты в одном блоке server - переход с OpenSSL 1.0.1 на 1.0.2 потребует изменения цепочек в ssl_certificate, т.к. в случае OpenSSL 1.0.1 цепочка только одна и общаяя для всех сертификатов, а в случае 1.0.2 - у каждого сертификата своя. В остальном я каких-либо особенных проблем с OpenSSL 1.0.2 не помню, в целом хорошая ветка. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
