<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">17 апреля 2017 г., 17:49 пользователь Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<span class="gmail-"><br>
On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:<br>
<br>
> "будет использоваться для всех соединений в данном сервере"<br>
> Виртуальном сервере? В моей конфигурации для каждого виртуального хоста свой<br>
> stapling файл, при тестах сервер отвечает на все запросы.<br>
<br>
</span>Речь про блок конфигурации server{}.<br>
<span class="gmail-"><br>
> "использовать для получения OCSP-ответов для stapling'а сам nginx, он это<br>
> умеет"<br>
> Умеет, но к сожалению, ocsp-сервер не всегда отвечает. Именно поэтому<br>
> кэширую локально (скрипт не успокоится, пока не получит ответ и не обновит<br>
> файл). Или nginx тоже кэширует ответы? В каком случае они сбрасываются?<br>
<br>
</span>Ответы кешируются в рамках рабочего процесса, и возвращаются<br>
клиентам вплоть до получения нового OCSP-ответа или истечения<br>
указанного в ответе срока годности.  Соответственно, наиболее<br>
неприятный момент - это перезагрузка конфигурации в тот момент,<br>
когда OCSP-сервер не отвечает.<br>
<br>
Но вообще, если OCSP-сервер не всегда отвечает - это повод сменить<br>
CA.<br>
<span class="gmail-"><br>
> "можно попробовать поднять локально OCSP-responder"<br>
> Задача к счастью намного (надеюсь) проще - получить минимальный и<br>
> гарантированный ответ при OCSP запросе.<br>
<br>
</span>Что уж может быть проще, чем поднять proxy с кешированием.<br>
Впрочем, смотри выше про "сменить CA".<br>
<br>
Отмечу также в скобках, что OCSP stapling - это механизм<br>
оптимизации, позволяющий снять работу (точнее, часть работы) по<br>
получению OCSP-ответов с клиентов и переложить её на сервер.<br>
Странно ожидать от этого механизма гарантированности чего либо.<br></blockquote><div><br></div><div><br></div><div>после массового выпуска сертификатов на Let's Encrypt</div><div>произошло вот такое</div><div><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><a href="https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4">https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4</a></span><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif">и, собственно,</span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px">"</span><span style="font-family:helvetica,arial,sans-serif;font-size:14px">You may be interested to read these gists about the ways in which OCSP stapling is implemented suboptimally in Apache and Nginx: </span><a href="https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684<span class="gmail-badge gmail-badge-notification gmail-clicks" title="24 clicks" style="display:inline-block;white-space:nowrap;border-radius:10px;padding:4px 5px 2px;vertical-align:middle;color:rgb(122,122,122);font-size:11px;line-height:1;text-align:center;background-color:rgb(228,228,228);margin-left:2px;border:none">24</span></a><span style="font-family:helvetica,arial,sans-serif;font-size:14px"> and </span><a href="https://gist.github.com/sleevi/5efe9ef98961ecfb4da8" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/sleevi/5efe9ef98961ecfb4da8</a>"</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-im gmail-HOEnZb"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
</span><div class="gmail-HOEnZb"><div class="gmail-h5">______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div></div>