Re: ssl stapling file при нескольких сертификатах

Maxim Dounin mdounin на mdounin.ru
Пн Апр 17 12:49:10 UTC 2017


Hello!

On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:

> "будет использоваться для всех соединений в данном сервере" 
> Виртуальном сервере? В моей конфигурации для каждого виртуального хоста свой
> stapling файл, при тестах сервер отвечает на все запросы.

Речь про блок конфигурации server{}.

> "использовать для получения OCSP-ответов для stapling'а сам nginx, он это
> умеет" 
> Умеет, но к сожалению, ocsp-сервер не всегда отвечает. Именно поэтому
> кэширую локально (скрипт не успокоится, пока не получит ответ и не обновит
> файл). Или nginx тоже кэширует ответы? В каком случае они сбрасываются?

Ответы кешируются в рамках рабочего процесса, и возвращаются 
клиентам вплоть до получения нового OCSP-ответа или истечения 
указанного в ответе срока годности.  Соответственно, наиболее 
неприятный момент - это перезагрузка конфигурации в тот момент, 
когда OCSP-сервер не отвечает.

Но вообще, если OCSP-сервер не всегда отвечает - это повод сменить 
CA.

> "можно попробовать поднять локально OCSP-responder"
> Задача к счастью намного (надеюсь) проще - получить минимальный и
> гарантированный ответ при OCSP запросе.

Что уж может быть проще, чем поднять proxy с кешированием.  
Впрочем, смотри выше про "сменить CA".

Отмечу также в скобках, что OCSP stapling - это механизм 
оптимизации, позволяющий снять работу (точнее, часть работы) по 
получению OCSP-ответов с клиентов и переложить её на сервер.  
Странно ожидать от этого механизма гарантированности чего либо.

-- 
Maxim Dounin
http://nginx.org/


Подробная информация о списке рассылки nginx-ru