Re: Странное поведение OCSP Stapling и параметров ssl

Пн Авг 22 13:35:41 UTC 2016

Hello!

On Mon, Aug 22, 2016 at 03:50:36AM -0400, VVL wrote:

> > Не совсем понятно, что означают слова "последующая проверка любого 
> > сертификата".  В файле ocsp.der после выполнения команды выше у 
> > вас будет OCSP-ответ про конкретный сертификат, для других 
> > сертификатов этот ответ не годится.  Если вы его дальше пытаетесь 
> > подсунуть браузерам с помощью ssl_stapling_file вместе вместе с 
> > другим сертификатом - в зависимости от браузера он будет либо 
> > проигнорирован, либо приведён к ошибке соединения.
> 
> Проверка, проводимая командой 
> openssl ocsp -issuer ca.crt -cert example.com.crt -respin ocsp.der
> Выдает cert good для >любого< сертификата, выданного этим CA. Это и удивило.

Вы, вероятно, не туда смотрите.  В распечатаном OCSP-ответе будет, 
безусловно, "Cert Status: good", но там же рядом будет serial 
number того сертификата, к которому этот статус относится.  В 
конце же будет что-то вроде "example.com.crt: ERROR: No Status 
found.", что как бы намекает, что для запрошенного сертификата 
статуса в представленном ответе не обнаружено.

-- 
Maxim Dounin
http://nginx.org/