<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">17 Ð°Ð¿Ñ€ÐµÐ»Ñ 2017 г., 17:49 пользователь Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> напиÑал:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<span class="gmail-"><br>
On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:<br>
<br>
> "будет иÑпользоватьÑÑ Ð´Ð»Ñ Ð²Ñех Ñоединений в данном Ñервере"<br>
> Виртуальном Ñервере? Ð’ моей конфигурации Ð´Ð»Ñ ÐºÐ°Ð¶Ð´Ð¾Ð³Ð¾ виртуального хоÑта Ñвой<br>
> stapling файл, при теÑтах Ñервер отвечает на вÑе запроÑÑ‹.<br>
<br>
</span>Речь про блок конфигурации server{}.<br>
<span class="gmail-"><br>
> "иÑпользовать Ð´Ð»Ñ Ð¿Ð¾Ð»ÑƒÑ‡ÐµÐ½Ð¸Ñ OCSP-ответов Ð´Ð»Ñ stapling'а Ñам nginx, он Ñто<br>
> умеет"<br>
> Умеет, но к Ñожалению, ocsp-Ñервер не вÑегда отвечает. Именно поÑтому<br>
> кÑширую локально (Ñкрипт не уÑпокоитÑÑ, пока не получит ответ и не обновит<br>
> файл). Или nginx тоже кÑширует ответы? Ð’ каком Ñлучае они ÑбраÑываютÑÑ?<br>
<br>
</span>Ответы кешируютÑÑ Ð² рамках рабочего процеÑÑа, и возвращаютÑÑ<br>
клиентам вплоть до Ð¿Ð¾Ð»ÑƒÑ‡ÐµÐ½Ð¸Ñ Ð½Ð¾Ð²Ð¾Ð³Ð¾ OCSP-ответа или иÑтечениÑ<br>
указанного в ответе Ñрока годноÑти. СоответÑтвенно, наиболее<br>
неприÑтный момент - Ñто перезагрузка конфигурации в тот момент,<br>
когда OCSP-Ñервер не отвечает.<br>
<br>
Ðо вообще, еÑли OCSP-Ñервер не вÑегда отвечает - Ñто повод Ñменить<br>
CA.<br>
<span class="gmail-"><br>
> "можно попробовать поднÑÑ‚ÑŒ локально OCSP-responder"<br>
> Задача к ÑчаÑтью намного (надеюÑÑŒ) проще - получить минимальный и<br>
> гарантированный ответ при OCSP запроÑе.<br>
<br>
</span>Что уж может быть проще, чем поднÑÑ‚ÑŒ proxy Ñ ÐºÐµÑˆÐ¸Ñ€Ð¾Ð²Ð°Ð½Ð¸ÐµÐ¼.<br>
Впрочем, Ñмотри выше про "Ñменить CA".<br>
<br>
Отмечу также в Ñкобках, что OCSP stapling - Ñто механизм<br>
оптимизации, позволÑющий ÑнÑÑ‚ÑŒ работу (точнее, чаÑÑ‚ÑŒ работы) по<br>
получению OCSP-ответов Ñ ÐºÐ»Ð¸ÐµÐ½Ñ‚Ð¾Ð² и переложить её на Ñервер.<br>
Странно ожидать от Ñтого механизма гарантированноÑти чего либо.<br></blockquote><div><br></div><div><br></div><div>поÑле маÑÑового выпуÑка Ñертификатов на Let's Encrypt</div><div>произошло вот такое</div><div><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><a href="https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4">https://community.letsencrypt.org/t/ocsp-server-returns-unauthorized-status/21965/4</a></span><br></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif">и, ÑобÑтвенно,</span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:"segoe ui","segoe wp","segoe ui wpc",tahoma,arial,sans-serif;font-size:17px">"</span><span style="font-family:helvetica,arial,sans-serif;font-size:14px">You may be interested to read these gists about the ways in which OCSP stapling is implemented suboptimally in Apache and Nginx: </span><a href="https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/AGWA/1de6c26be5396f7cbce7ee016302d684<span class="gmail-badge gmail-badge-notification gmail-clicks" title="24 clicks" style="display:inline-block;white-space:nowrap;border-radius:10px;padding:4px 5px 2px;vertical-align:middle;color:rgb(122,122,122);font-size:11px;line-height:1;text-align:center;background-color:rgb(228,228,228);margin-left:2px;border:none">24</span></a><span style="font-family:helvetica,arial,sans-serif;font-size:14px"> and </span><a href="https://gist.github.com/sleevi/5efe9ef98961ecfb4da8" style="background-image:initial;background-position:initial;background-size:initial;background-repeat:initial;background-origin:initial;background-clip:initial;color:rgb(0,136,204);text-decoration:none;word-wrap:break-word;font-family:helvetica,arial,sans-serif;font-size:14px">https://gist.github.com/sleevi/5efe9ef98961ecfb4da8</a>"</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-im gmail-HOEnZb"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
</span><div class="gmail-HOEnZb"><div class="gmail-h5">______________________________<wbr>_________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div></div>