Re: Странное поведение OCSP Stapling и параметров ssl

[VVL]

Maxim Dounin Wrote:
-------------------------------------------------------
> В приведённой команде "openssl s_client" вы проверяете OCSP 
> stapling для сервера по умолчанию на данном IP, без использования 
> SNI (задаётся с помощью параметра "-servername").  А 
> конфигурируете его - в виртуальном сервере.  От этого и не 
> работает.

Спасибо, не пришло в голову, что openssl по умолчанию не обрабатывает SNI.

> Под переносом в основной конфигурационный файл, видимо, имеется в 
> виду указание соответствующей директивы на уровне http{}.  В этом 
> случае значение наследуется во все блоки server{}, и 
> соответственно будет также использоваться в сервере по умолчанию, 
> если не переопределно там явно.

Да, имелась ввиду директива http{}

> Не совсем понятно, что означают слова "последующая проверка любого 
> сертификата".  В файле ocsp.der после выполнения команды выше у 
> вас будет OCSP-ответ про конкретный сертификат, для других 
> сертификатов этот ответ не годится.  Если вы его дальше пытаетесь 
> подсунуть браузерам с помощью ssl_stapling_file вместе вместе с 
> другим сертификатом - в зависимости от браузера он будет либо 
> проигнорирован, либо приведён к ошибке соединения.

Проверка, проводимая командой 
openssl ocsp -issuer ca.crt -cert example.com.crt -respin ocsp.der
Выдает cert good для >любого< сертификата, выданного этим CA. Это и удивило.

Posted at Nginx Forum: https://forum.nginx.org/read.php?21,269077,269081#msg-269081