<div> </div><div> </div><div>10.01.2018, 03:02, "Maxim Dounin" <mdounin@mdounin.ru>:</div><blockquote type="cite"><p>Hello!<br /><br />On Mon, Jan 08, 2018 at 11:38:56PM +1300, Thomas Valentine wrote:<br /> </p><blockquote>    I've spent a bit of time setting up my server with SSL, and checking<br />    for OCSP stapling to be working - couldn't work out why it wasn't<br />    sending the OCSP reply but it's as I was querying the server as the<br />    first hit before it had primed the response. This isn't mentioned in<br />    the online docs as to how it actually works. There is also nothing in<br />    the logs saying what is going on - unless using debug mode.<br /><br />    Perhaps within ngx_http_ssl_module.c something could be added to log<br />    when an OCSP query takes place (without requiring a debug log).</blockquote><p><br />OCSP requests are expected to happen on regular basis when OCSP<br />Stapling is enabled, and logging them all to the error log might<br />not be a good idea. Rather, it logs if there are any errors.</p></blockquote><div> </div><div>What about under the 'info' or 'notice' log level? Would that be a fair balance between information and not spamming the logs when error level is set to 'error'?</div><blockquote type="cite"><p> </p><blockquote>    I assume at some point in the past the option to prime the server has<br />    been considered and not implemented? I know a server script could be<br />    written to do this - perhaps within an nginx startup - and get nginx to<br />    use the ssl_stapling_file but this seems messy.</blockquote><p><br />OCSP Stapling is an optimization, and nothing breaks if it doesn't<br />work. You don't need to prime anything (unless you are using the<br />"Must Staple" certificate extension, which is completely different<br />story and wasn't even existed when OCSP Stapling was implemented<br />in nginx).<br /><br />You may also find these tickets interesting:<br /><br /><a href="https://trac.nginx.org/nginx/ticket/1413">https://trac.nginx.org/nginx/ticket/1413</a><br /><a href="https://trac.nginx.org/nginx/ticket/990">https://trac.nginx.org/nginx/ticket/990</a><br /><a href="https://trac.nginx.org/nginx/ticket/812">https://trac.nginx.org/nginx/ticket/812</a></p></blockquote><div>Some good info in those links. I disagree, but not my web server.</div><div> </div><blockquote type="cite"><p> </p><span>--<br />Maxim Dounin<br /><a href="http://mdounin.ru/">http://mdounin.ru/</a><br />_______________________________________________<br />nginx mailing list<br /><a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br /><a href="http://mailman.nginx.org/mailman/listinfo/nginx">http://mailman.nginx.org/mailman/listinfo/nginx</a></span></blockquote>