<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Apr 13, 2014 at 1:39 PM, Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> wrote:<br>

<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div><div class="h5"><br>
</div></div>As long as no good OCSP response is received, nginx will not<br>
staple anything as it doesn't make sense (moreover, it may be<br>
harmful, e.g. if the response isn't verified).<br>
<span class="HOEnZb"><font color="#888888"><br><br></font></span></blockquote><div><br></div><div>Hello! <br></div></div><br></div><div class="gmail_extra">Thank you for your answer. So I understand this is a deliberate behavior by nginx and not a bug.<br>

<br>Followup question, then, if I may:<br><br></div><div class="gmail_extra">By "good", do you mean "positive"? i.e. "we have verified that the certificate is OK and valid"?<br><br></div><div class="gmail_extra">

I'm not sure I understand why is it good idea not to tell the client that the certificate is known and has been revoked... the purpose (as I understand OCSP stapling) is to verify the cert is OK. Wouldn't returning no-response to a client might cause it to think it may be an intermittent issue with accessing OCSP, and thus "soft-fail" and trust the (revoked) cert "for now" until a proper response can be obtained? And if that is the case, wouldn't passing the negative response from the OCSP server immediately tell the client that something is fishy? (i.e. someone is MITM'ing the innocent user with a cert using a stolen key that was revoked by the real owner? The recent heartbleed bug is an excellent example...). Sounds like a security issue to me, but again, I may be missing something?<br>

<br>Let's say I want to proxy the response despite it being possibly harmful (in a way I do not yet understand :) ) - is that something straightforward as removing an 'if (revoked)' from somewhere in the source code, or would I need to hire some Nginx code expert to change this behavior?<br>

<br>By the way, if it's actually the spec (RFC) that says that you're not supposed to staple such responses, I'm also very fine with that. But if not, it would sound weird to me that Nginx decides to handle them in a special way....<br>

<br>Thanks again,<br><br></div><div class="gmail_extra">-- Shimi<br></div></div>