Hello! On Tue, Oct 25, 2022 at 06:41:56AM +0300, Gena Makhomed wrote:
> У некоторых пользователей nginx возникли затруднения: > > https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600 > > Только не понятно, это ошибка в самом nginx или ошибка в документации к > nginx. > > Максим, можете ответить этому пользователю на github, в чем там дело? > У меня английский такой, что пишу с ошибками, кроме того, я не уверен, > что сам правильно понимаю, в чем именно состоит проблема этого пользователя. Полной конфигурации там не приведено, так что остаётся только гадать, но судя по всему это очередной пользователь, который пытается задавать разные ssl_protocols в name-based виртуальных серверах. Так работать не будет, потому что OpenSSL фиксирует протокол раньше, чем становится известно имя. При этом в разных IP-based (или port-based) виртуальных серверах вполне можно использовать различные ssl_protocols. Подробнее об этом есть тут: https://trac.nginx.org/nginx/ticket/676 https://mailman.nginx.org/pipermail/nginx/2014-November/045738.html Этот и другие нюансы применения конфигурации для name-based виртуальных серверов документированы тут: http://nginx.org/en/docs/http/server_names.html#virtual_server_selection Что до TLSv1.3 Ciphersuites, то их OpenSSL, судя по всему, тоже выбирает сразу при установлении соединения, и соответственно задавать их в name-based виртуальных серверах бессмысленно, надо задавать в сервере по умолчанию. Это, впрочем, уже вообще не про nginx, если человек лезет в настройки OpenSSL напрямую, минуя nginx, он сам кузнец своего счастья. Писать всего этого на гитхабе я, конечно, не буду, но приведённой выше ссылки на документацию должно хватить даже без каких-либо пояснений. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org