OCSP stapling in Nginx >=1.3.7
Илья Шипицин
chipitsine на gmail.com
Вт Сен 18 17:49:26 UTC 2018
вт, 18 сент. 2018 г. в 22:28, Maxim Dounin <mdounin на mdounin.ru>:
> Hello!
>
> On Tue, Sep 18, 2018 at 09:18:52PM +0500, Илья Шипицин wrote:
>
> > вт, 18 сент. 2018 г. в 19:01, Gena Makhomed <gmm на csdoc.com>:
>
> [...]
>
> > > То есть цель у флага OCSP Must-Staple наверное та же самая,
> > > что и у OCSP Stapling - снизить нагрузку на инфраструктуру CA.
> >
> > цель у этого флага непонятна никому. есть ощущение, что (как и многие
> > аспекты TLS/SSL) это просто не очень продуманный дизайн.
>
> Цель не секрет же - сделать обязательную проверку отзыва
> сертификата. Против явного флага "обязательно проверять отзыв"
> активно возражали представители CA - справедливо полагая, что им
> от таких сертификатов прилетит нагрузки на OCSP-сервера - в
> результате получилось вот такое вот.
>
собственно, через CDP/CRL проверка не менее "обязательная"
тут вопрос в том, что они хотели сделать обязательной именно OCSP проверку
подозреваю, что на клиенте можно любую отключить (CDP/CRL точно, OCSP не
смотрел еще как)
>
> --
> Maxim Dounin
> http://mdounin.ru/
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20180918/54fe5e41/attachment.html>
Подробная информация о списке рассылки nginx-ru