<div dir="ltr"><div><div>Configuration directive allow to update it less or _more_ frequently if required.<br></div>At the moment nobody knows how often are OCSP responses updated until check the source code b/c there is no word in documentation about it.<br>
</div><br><div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jan 13, 2014 at 10:25 PM, Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div class="im"><br>
On Mon, Jan 13, 2014 at 08:23:46PM +0400, kyprizel wrote:<br>
<br>
> > This looks like a very-very wrong way to address the problem.<br>
> > Instead of resolving the problem it will hide it on some requests<br>
> > (but not on others), making the problem harder to detect and debug.<br>
><br>
> Once user can access the resource - he can see the warning about system<br>
> time problem (and other warning).<br>
> If he can't access it at all seeing something like "OCSP response invalid"<br>
> - he doesn't know what to do.<br>
<br>
</div>So the correct solution will probably be to ask browser vendors<br>
don't follow "abort the handshake" requirement (see<br>
<a href="http://trac.nginx.org/nginx/ticket/425" target="_blank">http://trac.nginx.org/nginx/ticket/425</a> for other reasons why it's<br>
a bad idea anyway) and/or inform users about possible reasons of<br>
the problem.  And/or to relax thisUpdate check.  And/or to ask CAs<br>
to provide responses with thisUpdate set somewhere in the past.<br>
<br>
Trying to update OCSP responses less frequently doesn't<br>
looks like a solution.  There will be periods when a response is<br>
fresh anyway.<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
><br>
><br>
> On Mon, Jan 13, 2014 at 8:12 PM, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>> wrote:<br>
><br>
> > Hello!<br>
> ><br>
> > On Mon, Jan 13, 2014 at 07:45:29PM +0400, kyprizel wrote:<br>
> ><br>
> > > The reason is quite easy - most responders _do_ set validity time equal<br>
> > to<br>
> > > 7 days and there is no reason to update the response every hour and I<br>
> > want<br>
> > > to update it more rarely.<br>
> > > Some do not set nextUpdate at all and 3600 can be too rarely for them.<br>
> ><br>
> > These reasons suggest that deriving validity times from response<br>
> > validity times, as suggested earlier, would be a better way to go.<br>
> ><br>
> > ><br>
> > ><br>
> > ><br>
> > > On Mon, Jan 13, 2014 at 7:42 PM, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>><br>
> > wrote:<br>
> > ><br>
> > > > Hello!<br>
> > > ><br>
> > > > On Mon, Jan 13, 2014 at 07:04:11PM +0400, kyprizel wrote:<br>
> > > ><br>
> > > > > So, you going to leave 3600 hardcoded there?<br>
> > > ><br>
> > > > Yes, unless you have some better reasons to make it<br>
> > > > configurable.<br>
> > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > On Mon, Jan 13, 2014 at 6:51 PM, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>><br>
> > > > wrote:<br>
> > > > ><br>
> > > > > > Hello!<br>
> > > > > ><br>
> > > > > > On Mon, Jan 13, 2014 at 06:08:53PM +0400, kyprizel wrote:<br>
> > > > > ><br>
> > > > > > > "some cases", for example = you have a lot of users with wrong<br>
> > system<br>
> > > > > > time,<br>
> > > > > > > so they can't access the server if OCSP responses updated too<br>
> > > > frequently.<br>
> > > > > ><br>
> > > > > > This looks like a very-very wrong way to address the problem.<br>
> > > > > > Instead of resolving the problem it will hide it on some requests<br>
> > > > > > (but not on others), making the problem harder to detect and debug.<br>
> > > > > ><br>
> > > > > > --<br>
> > > > > > Maxim Dounin<br>
> > > > > > <a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
> > > > > ><br>
> > > > > > _______________________________________________<br>
> > > > > > nginx-devel mailing list<br>
> > > > > > <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> > > > > > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> > > > > ><br>
> > > ><br>
> > > > > _______________________________________________<br>
> > > > > nginx-devel mailing list<br>
> > > > > <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> > > > > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> > > ><br>
> > > ><br>
> > > > --<br>
> > > > Maxim Dounin<br>
> > > > <a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
> > > ><br>
> > > > _______________________________________________<br>
> > > > nginx-devel mailing list<br>
> > > > <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> > > > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> > > ><br>
> ><br>
> > > _______________________________________________<br>
> > > nginx-devel mailing list<br>
> > > <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> > > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> ><br>
> ><br>
> > --<br>
> > Maxim Dounin<br>
> > <a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
> ><br>
> > _______________________________________________<br>
> > nginx-devel mailing list<br>
> > <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> ><br>
<br>
> _______________________________________________<br>
> nginx-devel mailing list<br>
> <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
<br>
<br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
<br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div>