<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">17 Ð°Ð¿Ñ€ÐµÐ»Ñ 2017 Ð³., 17:49 Ð¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ель Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> Ð½Ð°Ð¿Ð¸ÑÐ°Ð»:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<span class="gmail-"><br>
On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:<br>
<br>
> "будет Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ься Ð´Ð»Ñ Ð²ÑÐµÑ… ÑÐ¾ÐµÐ´Ð¸Ð½ÐµÐ½Ð¸Ð¹ Ð² Ð´Ð°Ð½Ð½Ð¾Ð¼ ÑÐµÑ€Ð²ÐµÑ€Ðµ"<br>
> Ð’иртуальном ÑÐµÑ€Ð²ÐµÑ€Ðµ? Ð’ Ð¼Ð¾ÐµÐ¹ ÐºÐ¾Ð½Ñ„игурации Ð´Ð»Ñ ÐºÐ°Ð¶Ð´Ð¾Ð³Ð¾ Ð²Ð¸Ñ€Ñ‚уального Ñ…оста ÑÐ²Ð¾Ð¹<br>
> stapling Ñ„айл, Ð¿Ñ€Ð¸ Ñ‚естах ÑÐµÑ€Ð²ÐµÑ€ Ð¾Ñ‚вечает Ð½Ð° Ð²ÑÐµ Ð·Ð°Ð¿Ñ€Ð¾ÑÑ‹.<br>
<br>
</span>Речь Ð¿Ñ€Ð¾ Ð±Ð»Ð¾Ðº ÐºÐ¾Ð½Ñ„игурации server{}.<br>
<span class="gmail-"><br>
> "использовать Ð´Ð»Ñ Ð¿Ð¾Ð»ÑƒÑ‡ÐµÐ½Ð¸Ñ OCSP-ответов Ð´Ð»Ñ stapling'а ÑÐ°Ð¼ nginx, Ð¾Ð½ ÑÑ‚о<br>
> ÑƒÐ¼ÐµÐµÑ‚"<br>
> Ð£Ð¼ÐµÐµÑ‚, Ð½Ð¾ Ðº ÑÐ¾Ð¶Ð°Ð»ÐµÐ½Ð¸ÑŽ, ocsp-сервер Ð½Ðµ Ð²ÑÐµÐ³Ð´Ð° Ð¾Ñ‚вечает. Ð˜Ð¼ÐµÐ½Ð½Ð¾ Ð¿Ð¾ÑÑ‚ому<br>
> ÐºÑÑˆÐ¸Ñ€ÑƒÑŽ Ð»Ð¾ÐºÐ°Ð»ÑŒÐ½Ð¾ (скрипт Ð½Ðµ ÑƒÑÐ¿Ð¾ÐºÐ¾Ð¸Ñ‚ся, Ð¿Ð¾ÐºÐ° Ð½Ðµ Ð¿Ð¾Ð»ÑƒÑ‡Ð¸Ñ‚ Ð¾Ñ‚вет Ð¸ Ð½Ðµ Ð¾Ð±Ð½Ð¾Ð²Ð¸Ñ‚<br>
> Ñ„айл). Ð˜Ð»Ð¸ nginx Ñ‚оже ÐºÑÑˆÐ¸Ñ€ÑƒÐµÑ‚ Ð¾Ñ‚веты? Ð’ ÐºÐ°ÐºÐ¾Ð¼ ÑÐ»ÑƒÑ‡Ð°Ðµ Ð¾Ð½Ð¸ ÑÐ±Ñ€Ð°ÑÑ‹Ð²Ð°ÑŽÑ‚ся?<br>
<br>
</span>Ответы ÐºÐµÑˆÐ¸Ñ€ÑƒÑŽÑ‚ся Ð² Ñ€Ð°Ð¼ÐºÐ°Ñ… Ñ€Ð°Ð±Ð¾Ñ‡ÐµÐ³Ð¾ Ð¿Ñ€Ð¾Ñ†ÐµÑÑÐ°, Ð¸ Ð²Ð¾Ð·Ð²Ñ€Ð°Ñ‰Ð°ÑŽÑ‚ся<br>
клиентам Ð²Ð¿Ð»Ð¾Ñ‚ÑŒ Ð´Ð¾ Ð¿Ð¾Ð»ÑƒÑ‡ÐµÐ½Ð¸Ñ Ð½Ð¾Ð²Ð¾Ð³Ð¾ OCSP-ответа Ð¸Ð»Ð¸ Ð¸ÑÑ‚ечения<br>
указанного Ð² Ð¾Ñ‚вете ÑÑ€Ð¾ÐºÐ° Ð³Ð¾Ð´Ð½Ð¾ÑÑ‚и.  Ð¡Ð¾Ð¾Ñ‚ветственно, Ð½Ð°Ð¸Ð±Ð¾Ð»ÐµÐµ<br>
неприятный Ð¼Ð¾Ð¼ÐµÐ½Ñ‚ - ÑÑ‚о Ð¿ÐµÑ€ÐµÐ·Ð°Ð³Ñ€ÑƒÐ·ÐºÐ° ÐºÐ¾Ð½Ñ„игурации Ð² Ñ‚от Ð¼Ð¾Ð¼ÐµÐ½Ñ‚,<br>
когда OCSP-сервер Ð½Ðµ Ð¾Ñ‚вечает.<br>
<br>
Но Ð²Ð¾Ð¾Ð±Ñ‰Ðµ, ÐµÑÐ»Ð¸ OCSP-сервер Ð½Ðµ Ð²ÑÐµÐ³Ð´Ð° Ð¾Ñ‚вечает - ÑÑ‚о Ð¿Ð¾Ð²Ð¾Ð´ ÑÐ¼ÐµÐ½Ð¸Ñ‚ÑŒ<br>
CA.<br>
<span class="gmail-"><br>
> "можно Ð¿Ð¾Ð¿Ñ€Ð¾Ð±Ð¾Ð²Ð°Ñ‚ÑŒ Ð¿Ð¾Ð´Ð½ÑÑ‚ÑŒ Ð»Ð¾ÐºÐ°Ð»ÑŒÐ½Ð¾ OCSP-responder"<br>
> Ð—адача Ðº ÑÑ‡Ð°ÑÑ‚ью Ð½Ð°Ð¼Ð½Ð¾Ð³Ð¾ (надеюсь) Ð¿Ñ€Ð¾Ñ‰Ðµ - Ð¿Ð¾Ð»ÑƒÑ‡Ð¸Ñ‚ÑŒ Ð¼Ð¸Ð½Ð¸Ð¼Ð°Ð»ÑŒÐ½Ñ‹Ð¹ Ð¸<br>
> Ð³Ð°Ñ€Ð°Ð½Ñ‚ированный Ð¾Ñ‚вет Ð¿Ñ€Ð¸ OCSP Ð·Ð°Ð¿Ñ€Ð¾ÑÐµ.<br>
<br>
</span>Что ÑƒÐ¶ Ð¼Ð¾Ð¶ÐµÑ‚ Ð±Ñ‹Ñ‚ÑŒ Ð¿Ñ€Ð¾Ñ‰Ðµ, Ñ‡ÐµÐ¼ Ð¿Ð¾Ð´Ð½ÑÑ‚ÑŒ proxy Ñ ÐºÐµÑˆÐ¸Ñ€Ð¾Ð²Ð°Ð½Ð¸ÐµÐ¼.<br>
Впрочем, ÑÐ¼Ð¾Ñ‚ри Ð²Ñ‹ÑˆÐµ Ð¿Ñ€Ð¾ "сменить CA".<br>
<br>
Отмечу Ñ‚акже Ð² ÑÐºÐ¾Ð±ÐºÐ°Ñ…, Ñ‡Ñ‚о OCSP stapling - ÑÑ‚о Ð¼ÐµÑ…анизм<br>
оптимизации, Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÑŽÑ‰Ð¸Ð¹ ÑÐ½ÑÑ‚ÑŒ Ñ€Ð°Ð±Ð¾Ñ‚у (точнее, Ñ‡Ð°ÑÑ‚ÑŒ Ñ€Ð°Ð±Ð¾Ñ‚Ñ‹) Ð¿Ð¾<br>
получению OCSP-ответов Ñ ÐºÐ»Ð¸ÐµÐ½Ñ‚ов Ð¸ Ð¿ÐµÑ€ÐµÐ»Ð¾Ð¶Ð¸Ñ‚ÑŒ ÐµÑ‘ Ð½Ð° ÑÐµÑ€Ð²ÐµÑ€.<br>
Странно Ð¾Ð¶Ð¸Ð´Ð°Ñ‚ÑŒ Ð¾Ñ‚ ÑÑ‚ого Ð¼ÐµÑ…анизма Ð³Ð°Ñ€Ð°Ð½Ñ‚ированности Ñ‡ÐµÐ³Ð¾ Ð»Ð¸Ð±Ð¾.<br></blockquote><div><br></div><div><br></div><div>после Ð¼Ð°ÑÑÐ¾Ð²Ð¾Ð³Ð¾ Ð²Ñ‹Ð¿ÑƒÑÐºÐ° ÑÐµÑ€Ñ‚ификатов Ð½Ð° Let's Encrypt</div><div>произошло Ð²Ð¾Ñ‚ Ñ‚акое</div><div><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><a href="https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4">https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4</a></span><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif">и, ÑÐ¾Ð±ÑÑ‚венно,</span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px">"</span><span style="font-family:helvetica,arial,sans-serif;font-size:14px">You may be interested to read these gists about the ways in which OCSP stapling is implemented suboptimally in Apache and Nginx: </span><a href="https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684<span class="gmail-badge gmail-badge-notification gmail-clicks" title="24 clicks" style="display:inline-block;white-space:nowrap;border-radius:10px;padding:4px 5px 2px;vertical-align:middle;color:rgb(122,122,122);font-size:11px;line-height:1;text-align:center;background-color:rgb(228,228,228);margin-left:2px;border:none">24</span></a><span style="font-family:helvetica,arial,sans-serif;font-size:14px"> and </span><a href="https://gist.github.com/sleevi/5efe9ef98961ecfb4da8" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/sleevi/5efe9ef98961ecfb4da8</a>"</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-im gmail-HOEnZb"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
</span><div class="gmail-HOEnZb"><div class="gmail-h5">______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div></div>