Hello!
On Thu, Jul 04, 2019 at 12:09:22AM +0500, Илья Шипицин wrote:
> привет!
>
> в конфиге на уровне http указано "ssl_early_data on;"
>
> в сервере, в котором нужен TLS1.2 (не задан TLS1.3) не задан никак
> ssl_early_data.
> судя по debug-логу - наследуется от уровня http, и пытается найти в пакетах
> early data.
>
> по спецификации, на TLS1.2 такого не должно быть.
>
> может проверять наличие TLS1.3 для включения этой опции (даже
> унаследованной от более высоких уровней) ?
Чтобы что? В случае, если соединение использует TLSv1.2 -
соединение уйдёт в обычное чтение, как только OpenSSL нам об этом
скажет. Дублировать знание о том, где именно бывает early data, а
где не бывает, в самом nginx'е - выглядит как ненужное усложнение.
Правильнее всего это место сделано в BoringSSL - там вообще один
интерфейс для чтения, и если чтение early data включено - то этот
интерфейс он просто возвращает 0-rtt-данные в случае их наличия.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
