Hello! On Thu, Jul 04, 2019 at 12:09:22AM +0500, Илья Шипицин wrote:
> привет! > > в конфиге на уровне http указано "ssl_early_data on;" > > в сервере, в котором нужен TLS1.2 (не задан TLS1.3) не задан никак > ssl_early_data. > судя по debug-логу - наследуется от уровня http, и пытается найти в пакетах > early data. > > по спецификации, на TLS1.2 такого не должно быть. > > может проверять наличие TLS1.3 для включения этой опции (даже > унаследованной от более высоких уровней) ? Чтобы что? В случае, если соединение использует TLSv1.2 - соединение уйдёт в обычное чтение, как только OpenSSL нам об этом скажет. Дублировать знание о том, где именно бывает early data, а где не бывает, в самом nginx'е - выглядит как ненужное усложнение. Правильнее всего это место сделано в BoringSSL - там вообще один интерфейс для чтения, и если чтение early data включено - то этот интерфейс он просто возвращает 0-rtt-данные в случае их наличия. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
