Re: ssl stapling file при нескольких сертификатах
Maxim Dounin
mdounin на mdounin.ru
Пн Апр 17 12:49:10 UTC 2017
Hello!
On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:
> "будет использоваться для всех соединений в данном сервере"
> Виртуальном сервере? В моей конфигурации для каждого виртуального хоста свой
> stapling файл, при тестах сервер отвечает на все запросы.
Речь про блок конфигурации server{}.
> "использовать для получения OCSP-ответов для stapling'а сам nginx, он это
> умеет"
> Умеет, но к сожалению, ocsp-сервер не всегда отвечает. Именно поэтому
> кэширую локально (скрипт не успокоится, пока не получит ответ и не обновит
> файл). Или nginx тоже кэширует ответы? В каком случае они сбрасываются?
Ответы кешируются в рамках рабочего процесса, и возвращаются
клиентам вплоть до получения нового OCSP-ответа или истечения
указанного в ответе срока годности. Соответственно, наиболее
неприятный момент - это перезагрузка конфигурации в тот момент,
когда OCSP-сервер не отвечает.
Но вообще, если OCSP-сервер не всегда отвечает - это повод сменить
CA.
> "можно попробовать поднять локально OCSP-responder"
> Задача к счастью намного (надеюсь) проще - получить минимальный и
> гарантированный ответ при OCSP запросе.
Что уж может быть проще, чем поднять proxy с кешированием.
Впрочем, смотри выше про "сменить CA".
Отмечу также в скобках, что OCSP stapling - это механизм
оптимизации, позволяющий снять работу (точнее, часть работы) по
получению OCSP-ответов с клиентов и переложить её на сервер.
Странно ожидать от этого механизма гарантированности чего либо.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru