Re: [feature] директива ssl для intermediate сертификатов/бандлов

[Maxim Dounin]

Hello!

On Sat, May 27, 2017 at 04:44:50PM +0700, Vadim A. Misbakh-Soloviov wrote:

> А что уважаемые разработчики думают об имплементации ssl_* директивы для 
> указания в ней intermediate-сертификатов/бандлов (чтобы в certificate можно 
> было указывать только сертификат самого сайта)?

Плохое думают.  Цепочка является, фактически, частью сертификата, 
и класть её отдельно - неинтуитивно, неудобно, и приведёт скорее к 
проблемам с перепутанными цепочками, чем к чему-то положительному.  

В своё время Игорь сделал одну директиву для сертификата и цепочки 
вместо принятых двух - отдельно для сертификата, отдельно для 
цепочки - и это, как мне кажется, было однозначным плюсом в части 
удобства конфигурирования.  Причин вдруг всё менять - не 
прослеживается.

Наоборот, я бы подумал о том, чтобы вместе с сертификатом 
научиться, скажем, класть ещё и OCSP-ответ для stapling'а, а то 
вот желающие использовать OCSP stapling и Must-Staple жалуются, 
что ssl_stapling_file нельзя использовать с несколькими 
сертификатми.

-- 
Maxim Dounin
http://nginx.org/