<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 21 июл. 2022 г. в 15:42, Илья Шипицин <<a href="mailto:chipitsine@gmail.com">chipitsine@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 21 июл. 2022 г. в 01:01, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<br>
On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:<br>
<br>
> Коллеги, <br>
> <br>
> (чуть запоздало)<br>
> <br>
> On Thu, 7 Jul 2022, Maxim Dounin wrote:<br>
> <br>
> [snip]<br>
> <br>
> > И нет, наличие проблемы "авторы считают возможным менять конфиги" <br>
> > в одном из вариантов использования - не означает, что в других <br>
> > вариантах использования проблем нет.  Наличие такой проблемы <br>
> > означает, что авторы не понимают проблему, и что там ещё и где <br>
> > разложено или будет разложено в будущем - неизвестно.  И лично я <br>
> > предпочитаю пользоваться тем, что работает, и рекомендовать его <br>
> > же.<br>
> <br>
> вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех пор <br>
> скриптовать стало проще и, что ли, "повторяемее")<br>
> <br>
> <a href="https://blog.crashed.org/letsencrypt-in-freebsd-org/" rel="noreferrer" target="_blank">https://blog.crashed.org/letsencrypt-in-freebsd-org/</a><br>
<br>
Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не <br>
могу: начиная от утверждений про "servers require a full restart <br>
to re-load the certificates if the filename is unchanged", что <br>
применительно к nginx'у совершенно точно неправда, и заканчивая <br>
утверждениями про "nginx is broken" в части ocsp-must-staple, что <br>
явно показывает непонимание разницы между OCSP Stapling и <br>
требованиями OCSP Must Staple.<br></blockquote><div><br></div><div>не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть вопросы.</div><div><br></div><div>на что мы налетали.</div><div>пишу я допустим "<span style="background-color:rgb(244,244,247);color:rgb(51,51,51);font-family:Consolas,Menlo,Monaco,"Lucida Console","Liberation Mono","DejaVu Sans Mono","Bitstream Vera Sans Mono","Courier New",monospace,sans-serif;font-size:12px;white-space:pre-wrap">ssl_ocsp on"</span></div></div></div></blockquote><div><br></div><div>тут наврал, мы писали "<span style="background-color:initial;color:inherit;font-family:monospace,monospace;white-space:pre;font-size:14px">ssl_stapling on;"</span></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>включаю - все работает, все счастливы.<br>всем шампанское.<br><br><br>потом, случайным образом - не работает. потом опять работает.<br><br>смотрим под капот - при старте nginx идет обращение к OCSP и формируется (или не формируется) staple.<br>не формируется в зависимости от миллиона причин. в нашем случае nginx стартовал при недоступных днс серверах (это один из штатных режимов запуска).<br><br>по логу - ок, пишем warning, и едем дальше с отключенным OCSP.<br><br>как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>
</blockquote></div></div>
</blockquote></div></div>