OCSP stapling in Nginx >=1.3.7

Gena Makhomed gmm на csdoc.com
Чт Сен 6 15:26:25 UTC 2018


Здравствуйте, All!

Если с помощью Let's Encrypt сделать SSL-сертификат
для домена,например, example.com то в файле
/etc/letsencrypt/live/example.com/README
будет такая информация:

`chain.pem`    : used for OCSP stapling in Nginx >=1.3.7.

Чтобы nginx использовал файл chain.pem для OCSP stapling
необходимо прописать в конфиге

  ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

  ssl_stapling on;
  ssl_stapling_verify on;
  resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;

я правильно понимаю?

Смущает тот факт, что если закомментировать
в конфиге директиву ssl_trusted_certificate
- никаких предупреждений не выводится во время
тестирования конфигурации и никаких сообщений
не пишется в лог во время systemctl reload nginx

Насколько я понимаю, ssl_stapling_verify on
следует включать всегда, потому что общение
с OCSP сервером происходит по протоколу HTTP?
По крайней мере, в самом сертификате написано:
OCSP: URI: http://ocsp.int-x3.letsencrypt.org

-- 
Best regards,
  Gena



Подробная информация о списке рассылки nginx-ru