grpc_ssl_verify_depth

Описание

Директива `grpc_ssl_verify_depth` используется в конфигурации NGINX для указания максимального числа промежуточных сертификатов, которые могут присутствовать в цепочке проверки SSL при обработке gRPC-запросов. Эта директива особенно актуальна при использовании gRPC поверх SSL, так как она помогает контролировать процесс проверки сертификатов и предотвращать возможные зацикливания или чрезмерную глубину проверки. Задавая эту директиву, администраторы могут удостовериться, что клиенты подключаются к предусмотренным серверам, одновременно поддерживая баланс между безопасностью и производительностью. Директива принимает целое числовое значение, определяющее максимально допустимую глубину проверки SSL-сертификатов. Например, если установить значение '3', цепочка сертификатов может содержать до трёх промежуточных сертификатов до достижения корневого доверенного сертификата. Это полезно в конфигурациях, где выданы несколько сертификатов, и нужно управлять глубиной цепочки, чтобы не выходить за рамки установленных требований. Кроме того, если глубина проверки превысит этот предел, NGINX прервет соединение, тем самым усиливая применение политики безопасности без излишней нагрузки на процесс проверки. Эту директиву можно указывать в различных контекстах, включая `http`, `server` и `location`, что позволяет обеспечить тонкую настройку в зависимости от области действия конфигурации. Важно подбирать это значение с учётом известной структуры сертификатов, используемой на стороне сервера и клиента.

Пример конфига

http {
    server {
        location / {
            grpc_pass grpc://backend;
            grpc_ssl_verify on;
            grpc_ssl_verify_depth 3;
        }
    }
}