<div dir="ltr"><div><div>"some cases", for example = you have a lot of users with wrong system time, so they can't access the server if OCSP responses updated too frequently.<br></div>According to validity time - most responders issue OCSP response valid for 7 days, but they also can issue responses without nextUpdate option.<br>
</div><br>I think user-configurable thing is much better here b/c in most cases you can't manipulate CA's OCSP responders options and fix them.<br><div><div><div><br>validity_period vs cache_valid will be better?<br>
<br></div></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jan 13, 2014 at 5:57 PM, Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div class="im"><br>
On Sat, Jan 11, 2014 at 07:52:12PM +0400, kyprizel wrote:<br>
<br>
> In some cases we need to vary period after OCSP response will be refreshed.<br>
> By default it was hardcoded to 3600 sec. This directive allows to change it<br>
> via config.<br>
<br>
</div>In which "some cases"?  The directive was ommitted intentionally<br>
to simplify things as it seems to be good enough to have hardcoded<br>
1h value.<br>
<br>
Note well that OCSP responses have their validity times available,<br>
and it may be a good idea to derive needed times from there<br>
instead of making things user-configurable.<br>
<div class="im"><br>
> Also, there were some kind of bursts when all the cluster nodes and nginx<br>
> workers go to update their OCSP staples - random delay within 180 sec was<br>
> added to fix it.<br>
<br>
</div>This may make sense, but certainly should be a separate patch.<br>
<br>
[...]<br>
<div class="im"><br>
> @@ -32,6 +32,7 @@<br>
>      X509                        *issuer;<br>
><br>
>      time_t                       valid;<br>
> +    time_t                       cache_time;<br>
<br>
</div>I don't really like the name used.<br>
<br>
[...]<br>
<div class="im"><br>
> @@ -656,7 +658,11 @@<br>
>  done:<br>
><br>
>      staple->loading = 0;<br>
> -    staple->valid = ngx_time() + 3600; /* ssl_stapling_valid */<br>
> +<br>
> +    /* ssl_stapling_valid */<br>
> +<br>
> +    staple->valid = ngx_time() + staple->cache_time<br>
> +                               + (ngx_random() % 180);<br>
<br>
</div>The comment is here to indicate what the "3600" magic number<br>
means.  Preserving it shouldn't be needed.<br>
<br>
[...]<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
<br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</font></span></blockquote></div><br></div>