<div dir="ltr">Seems to me that the current stance is that this won't be added. See <div><br><div>- <a href="http://mailman.nginx.org/pipermail/nginx-devel/2017-March/009599.html">http://mailman.nginx.org/pipermail/nginx-devel/2017-March/009599.html</a></div></div><div>- <a href="http://mailman.nginx.org/pipermail/nginx-devel/2017-April/009784.html">http://mailman.nginx.org/pipermail/nginx-devel/2017-April/009784.html</a></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature">Lugupidamisega,<br>Jürno Ader</div></div>
<br><div class="gmail_quote">2017-04-27 18:18 GMT+03:00 Nicholas Humfrey <span dir="ltr"><<a href="mailto:njh@aelius.com" target="_blank">njh@aelius.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I was having trouble getting CRL checks working for client certificates and it turns out that the problem is because nginx checks CRLs for all levels of the certificate hierarchy, but the CA I am using does not publish CRLs for intermediate certificates.<br>
<br>
It is not uncommon for the private key of the root CA certificate to be locked-away offline in a safe, to prevent any other intermediate certificates from being issued. However this means that CRLs cannot be generated for the intermediate certificates, only the leaf certificates. Hence only the leaf certificates can be CRL checked.<br>
<br>
The solution to this is very simple; just set X509_V_FLAG_CRL_CHECK in OpenSSL without the X509_V_FLAG_CRL_CHECK_ALL flag.<br>
<br>
Would you accept a patch that adds a new configuration option to nginx to control this?<br>
<br>
<br>
I was thinking the option might look like:<br>
<br>
  ssl_crl_check leaf;   # Only check if leaf certificates have been revoked<br>
  ssl_crl_check all;    # Check the whole chain for revoked certificates<br>
<br>
The default behaviour would continue to be to check the whole chain.<br>
<br>
<br>
Thanks,<br>
<br>
nick.<br>
<br>
<br>
______________________________<wbr>_________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org" target="_blank">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailm<wbr>an/listinfo/nginx-devel</a><br>
</blockquote></div><br></div>