<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">вт, 18 сент. 2018 г. в 22:28, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
On Tue, Sep 18, 2018 at 09:18:52PM +0500, Илья Шипицин wrote:<br>
<br>
> вт, 18 сент. 2018 г. в 19:01, Gena Makhomed <<a href="mailto:gmm@csdoc.com" target="_blank">gmm@csdoc.com</a>>:<br>
<br>
[...]<br>
<br>
> > То есть цель у флага OCSP Must-Staple наверное та же самая,<br>
> > что и у OCSP Stapling - снизить нагрузку на инфраструктуру CA.<br>
> <br>
>  цель у этого флага непонятна никому. есть ощущение, что (как и многие<br>
> аспекты TLS/SSL) это просто не очень продуманный дизайн.<br>
<br>
Цель не секрет же - сделать обязательную проверку отзыва <br>
сертификата.  Против явного флага "обязательно проверять отзыв" <br>
активно возражали представители CA - справедливо полагая, что им <br>
от таких сертификатов прилетит нагрузки на OCSP-сервера - в <br>
результате получилось вот такое вот.<br></blockquote><div><br></div><div>собственно, через CDP/CRL проверка не менее "обязательная"</div><div>тут вопрос в том, что они хотели сделать обязательной именно OCSP проверку</div><div><br></div><div>подозреваю, что на клиенте можно любую отключить (CDP/CRL точно,  OCSP не смотрел еще как)<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>