
<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">I do not want to validate OCSP responses client-side, which are OK.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">I want to have details about the status nginx' validation of the initial OCSP query it did to the OCSP responder of the CA, especially when it goes wrong.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)"><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">I noted that even though <span style="font-family:monospace,monospace">ssl_trusted_certificate</span> is not set or set with a wrong (set of) certificate(s), a cached OCSP response will served by nginx to the client after an initial request has been made to a domain hosted by it and served through TLS.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">I want to know the consequences of having such a directive badly configured :<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">- error.log message? Found nothing<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">- modified OCSP response? Nope<br>- ...<br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">What am I supposed to notice and where/when?</div><div><div><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font></div></div>

<br><div class="gmail_quote">On Tue, Mar 1, 2016 at 5:33 PM, Alt <span dir="ltr"><<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>

<br>

You can check with this command found on this website:<br>

<a href="https://unmitigatedrisk.com/?p=100" rel="noreferrer" target="_blank">https://unmitigatedrisk.com/?p=100</a><br>

openssl s_client -connect <a href="http://login.live.com:443" rel="noreferrer" target="_blank">login.live.com:443</a> -tls1  -tlsextdebug  -status<br>

<br>

If everything goes well, you should find something like:<br>

"OCSP response:<br>

======================================<br>

OCSP Response Data:<br>

    OCSP Response Status: successful (0x0)<br>

    Response Type: Basic OCSP Response<br>

..."<br>

<br>

If there's no stapling, you'll get:<br>

"OCSP response: no response sent".<br>

<br>

Please note: when you restart nginx, you won't get an OCSP answer<br>

immediatly. You'll have to visit the URL and wait a few seconds before<br>

having the stapling working for the next request. IIRC, this behavior is<br>

because OCSP servers may be slow to answer.<br>

<br>

Best Regards<br>

<br>

Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?2,264967,264977#msg-264977" rel="noreferrer" target="_blank">https://forum.nginx.org/read.php?2,264967,264977#msg-264977</a><br>

<br>

_______________________________________________<br>

nginx mailing list<br>

<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>

</blockquote></div><br></div></div>