How to Improve SEO with HTTPS and NGINX

[Gena Makhomed]

On 11.09.2018 6:21, Maxim Dounin wrote:

>>>>     ssl_stapling on;
>>>>     ssl_stapling_verify on;
>>>>     resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;

>>> Just a side note: использование сторонних DNS-серверов - это
>>> плохое решение.  Цитируя документацию:

>>> : Для предотвращения DNS-спуфинга рекомендуется использовать
>>> : DNS-серверы в защищённой доверенной локальной сети.

>> Разве сервера 8.8.8.8, 1.1.1.1 и 9.9.9.9 подвержены атаке DNS spoofing?
>> https://en.wikipedia.org/wiki/DNS_spoofing

> Речь не о том, подвержены ли эти сервера атакам.  Речь о том, что
> при использовании не-локальных DNS-серверов в некотороых случаях
> становятся возможны атаки на resolver nginx'а, так как он общается
> с удалённым DNS-сервером - то есть, фактически, открыт для всего
> мира с точностью до номера порта и 16-битного query id, ибо
> spoofing IP-адреса в UDP-пакетах проблемы не представляет.

Кстати, на сайте www.nginx.com предлагается использовать
в конфиге ресолверы 8.8.8.8 и 8.8.4.4. Вот в этой статье:

https://www.nginx.com/blog/improve-seo-https-nginx/
How to Improve SEO with HTTPS and NGINX

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;

Если включено ssl_stapling_verify on; - тогда вроде бы нет проблем
с DNS-спуфингом, поскольку nginx будет отбрасывать те OCSP-ответы,
которые он не сможет проверить и уязвимости в данном случае не будет?

-- 
Best regards,
  Gena