OCSP stapling in Nginx >=1.3.7

Вт Сен 18 17:28:20 UTC 2018

Hello!

On Tue, Sep 18, 2018 at 09:18:52PM +0500, Илья Шипицин wrote:

> вт, 18 сент. 2018 г. в 19:01, Gena Makhomed <gmm at csdoc.com>:

[...]

> > То есть цель у флага OCSP Must-Staple наверное та же самая,
> > что и у OCSP Stapling - снизить нагрузку на инфраструктуру CA.
> 
>  цель у этого флага непонятна никому. есть ощущение, что (как и многие
> аспекты TLS/SSL) это просто не очень продуманный дизайн.

Цель не секрет же - сделать обязательную проверку отзыва 
сертификата.  Против явного флага "обязательно проверять отзыв" 
активно возражали представители CA - справедливо полагая, что им 
от таких сертификатов прилетит нагрузки на OCSP-сервера - в 
результате получилось вот такое вот.

-- 
Maxim Dounin
http://mdounin.ru/