<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">If nginx manages those files like the others (like logs), it (re)opens them on reload/restart.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">You might tweak your updating script to also send a HUP signal to nginx. It would be recommanded to check the error log on reload, as errors (if any) will appear there.<br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">You might also simply use the <a href="http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling">ssl_stapling</a> directive, with which nginx will manage the cache of the received OCSP answer in memory by itself.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Why are not you using this method?<br></div><div class="gmail_extra"><div><div><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font></div></div>
<br><div class="gmail_quote">On Sun, Apr 5, 2015 at 3:25 PM, nanochelandro <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey all.<br>
Before I file a bugreport I'd like to consult with community to make sure<br>
whether I get the whole thing right.<br>
<br>
I use ssl_stapling_file and update that file daily.<br>
Today I discovered that one of my SSL websites returns outdated OCSP<br>
response, not the one which is in the OCSP stapling file:<br>
<br>
> openssl s_client -connect xxxx:443 -tls1  -tlsextdebug  -status<br>
...<br>
    Cert Status: good<br>
    This Update: Mar 26 06:05:34 2015 GMT<br>
    Next Update: Mar 28 06:05:34 2015 GMT<br>
<br>
Today is April 5. I checked OCSP file, it's fresh (April 4), has correct<br>
permissions, readable by nginx, etc.<br>
Then I reloaded nginx (HUP) and boom:<br>
<br>
> openssl s_client -connect xxxx:443 -tls1  -tlsextdebug  -status<br>
...<br>
    Cert Status: good<br>
    This Update: Apr  4 04:19:53 2015 GMT<br>
    Next Update: Apr  6 04:19:53 2015 GMT<br>
<br>
<br>
I run a dozen of SSL websites with ssl_stapling_file but never had to HUP<br>
nginx to pick up an updated file (or at least I never noticed the issue<br>
(even in FireFox which is very picky regarding OCSP)).<br>
<br>
Is that a bug (1.7.11) or did I do it wrong all the time? :)<br>
<br>
Thanks.<br>
<br>
Posted at Nginx Forum: <a href="http://forum.nginx.org/read.php?2,257831,257831#msg-257831" target="_blank">http://forum.nginx.org/read.php?2,257831,257831#msg-257831</a><br>
<br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div><br></div></div>