<div dir="ltr"><div class="gmail_default" style="font-size:small">Добрый день!<br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Установлен nginx-frontend, терминирующий ssl\tls с настроенным ssl_stapling:<br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"># SSL secure session<br>ssl_session_timeout 5m;<br>ssl_session_cache shared:SSL:50m;<br><br># SSL cipher suite settings<br>ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+<br>ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>ssl_prefer_server_ciphers on;<br>ssl_dhparam /etc/pki/tls/private/dhparam.pem;<br><br># OCSP Stapling<br>ssl_stapling on;<br>ssl_stapling_verify on;<br>ssl_trusted_certificate /etc/pki/tls/private/trust-ca-chain-globalsign.pem;<br>resolver x.x.x.x;<br><br>Недавно словил глюк (или особенность) работы ssl_stapling.<br><br>В вышеописанной конфигурации nginx должен самостоятельно опрашивать ocsp-респондер УЦ (в частности у меня OCSP - URI:<a href="http://ocsp2.globalsign.com/gsorganizationvalsha2g2">http://ocsp2.globalsign.com/gsorganizationvalsha2g2</a>) и прикреплять ocsp-ответы к tls-сессии (чтобы клиент не тратил время на самостоятельное обращение к ocsp-респондеру).<br><br>Однако, при длительной недоступности связи с ocsp-ренспондером некоторые внутренние клиенты с браузеров Firefox (и только c них) ловят ошибку "OCSP-ответ содержит устаревшую информацию. (Код ошибки: sec_error_ocsp_old_response)", что наводит на мысль о том, что возможно nginx отдает клиентам устаревший ocsp-ответ (последний сохраненный на момент доступности ocsp-респондера УЦ). Если nginx перезапустить, то в свежеустановленной tls-сессии ocsp-ответ уже не прикрепляется (OCSP response: no response sent) и Firefox ресурс успешно открывает.<br><br></div><div class="gmail_default" style="font-size:small">Очевидным решением является конечно же отключение проверки ocsp по умолчанию в настройках FF.<br>Однако хотелось бы уточнить из первых рук:<br>- кеширует ли nginx ocsp-ответы?<br>- если кеширует, то должен ли просто отдавать последний сохраненный у себя ocsp-ответ или все же проверять время и не посылать протухший ocsp-ответ?<br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Версия mainline из официального репозитория:<br></div><div class="gmail_default" style="font-size:small">nginx version: nginx/1.9.1<br>built by gcc 4.8.2 20140120 (Red Hat 4.8.2-16) (GCC)<br>built with OpenSSL 1.0.1e-fips 11 Feb 2013<br>TLS SNI support enabled<br></div><br>-- <br><div class="gmail_signature">------------------------------------<br>With best regards, Eugene Peregudov<br>Mailto: <a href="mailto:eugene.peregudov@gmail.com" target="_blank">eugene.peregudov@gmail.com</a></div>
</div>