nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "/path/to/example.com/fullchain.cer"
Maxim Dounin
mdounin на mdounin.ru
Ср Май 8 12:53:35 UTC 2019
Hello!
On Wed, May 08, 2019 at 12:10:32AM -0400, rihad wrote:
> Вот эта сборка с LibreSSL проблемная. Без нее (если убрать
> DEFAULT_VERSIONS+=ssl=libressl из /etc/make.conf или просто поставить пакет)
> нет ворнингов.
>
> [rihad at master /usr/local/etc/nginx]$ nginx -V
> nginx version: nginx/1.16.0
> built with LibreSSL 2.9.1
[...]
Судя по всему, в LibreSSL неправильно реализована функция
SSL_CTX_get_extra_chain_certs() - ведёт себя так, как должно вести
функция SSL_CTX_get_extra_chain_certs_only(), и не возвращает
цепочку дополнительных сертификатов, установленную для конкретного
сертификата, а возвращает только общую цепочку для контекста.
Если я правильно понимаю, поддержку отдельных цепочек для
сертификатов в LibreSSL только начали пилить в 2.9.x, и пока не
допилили до конца. Но поскольку в LibreSSL 2.9.1 появилась функция
SSL_CTX_set0_chain() - nginx начал её использовать, и отсутствие
соответствующей реализации SSL_CTX_get_extra_chain_certs()
сказывается.
Стоит ребятам сообщить, чтобы починили.
--
Maxim Dounin
http://mdounin.ru/
Подробная информация о списке рассылки nginx-ru