1. Эта директива появилась в nginx версии 1.15.3 (ошибки исправлены в версии 1.15.8)
Судя по описании существенно уменьшае время повторных ssl «рукопожатий».
2. Сервисы проверки уже научились определять включена ли эта опция:
https://www.htbridge.com/ssl/?id=kqokkuK1
«Server's TLSv1.3 Early Data (RFC 8446, page 17) is properly implemented»
3. Но вот примечание меня смущает:
«Proper implementation of the Early Data allows a client to use zero round trip (0-RTT) and mitigates some vectors of the Replay Attack.»
На сайте nginx советуют:
" Запросы, отправленные внутри early data, могут быть подвержены атакам повторного воспроизведения (replay). Для защиты от подобных атак на уровне приложения необходимо использовать переменную $ssl_early_data.
proxy_set_header Early-Data $ssl_early_data; "
Не понял - этот хедер куда добавить надо в случае вебсервера на свзке nginx и apache ? В nginx ? В apache ?
И вообще насколько страшна эта уязвимость ?
Отказываться просто так от фишки уменьшающий время подключения к сайту не хочется же.
