ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf

Gena Makhomed gmm на csdoc.com
Чт Ноя 9 16:06:08 UTC 2017 

On 09.11.2017 16:56, Maxim Dounin wrote:

>> Ресолвер в конфиге я включал только из-за директивы "ssl_stapling on".
>>
>> Но ведь ssl_stapling - это дополнительная функциональность,
>> nginx же вполне может запуститься и работать вообще без ssl_stapling.
>>
>> Тем более, что это был даже не запуск nginx, а просто проверка конфига.
>>
>> Может быть во время проверки конфига на валидность имеет смысл
>> вообще не ждать по 90 секунд неизвестно чего из-за директивы
>> "ssl_stapling on" ?

> При использовании ssl_stapling nginx использует getaddrinfo() (то
> есть системный резолвер) для получения адресов на старте, а в
> процессе работы - обновляет адреса с помощью заданных в директиве
> resolver DNS-серверов.
> 
> Так что сколько именно секунд ждать - это вопрос в первую очередь
> к настройкам системного резолвера.

В функции ngx_ssl_stapling_responder()
вызывается функция ngx_parse_url(), из нее вызывается
ngx_parse_inet_url(), оттуда вызывается ngx_inet_resolve_host()
которая вызывает getaddrinfo().

Не понятно другое,
зачем при парсинге урлов из сертификатов надо ресолвить хосты?

Мне еще ни разу не встречались удостоверяющие центры,
которые в своих сертификатах прописывали невалидные хостнеймы
для OCSP stapling. Значит и ресолвить их при старте сервиса смысла нет.

Может быть имеет смысл к функции ngx_parse_url() добавить
еще один параметр, который будет говорить,
надо ли ресолвить хост во время парсинга урла?

И тогда при использовании ssl_stapling
можно будет не ресолвить хост, и nginx будет запускаться нормально,
даже если есть временные проблемы с системным ресолвером?

Сейчас же - из-за *временных* проблем с системным ресолвером
полностью не стартует сервис nginx. Это как-то неправильно.

Может быть лучше бы он стартовал и работал,
даже если часть функциональности ssl_stapling
будет временно не доступна
из-за временно не ресолвящихся доменных имен?

Коммерческие пользователи nginx+ наверное тоже подвержены этой проблеме.

Хочется видеть nginx максимально надежным сервисом, без глюков.

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru