OCSP stapling in Nginx >=1.3.7
Maxim Dounin
mdounin на mdounin.ru
Чт Сен 20 23:46:20 UTC 2018
Hello!
On Thu, Sep 20, 2018 at 08:55:30PM +0300, Gena Makhomed wrote:
[...]
> Но если OCSP responder работает нормально и оказался не доступен
> на небольшой промежуток времени, например, всего на несколько
> часов - такой проблемы не будет.
Такая проблема совершенно точно будет - даже при идеальном
кэшировании доступных OCSP-ответов. В частности, даже в этом
треде уже есть пример с зафильтрованным OCSP responder'ом.
Отрицать проблему - глупо. И хороших решений в рамках парадигмы
"must staple" - не существует.
[...]
> >>> Это что угодно, но только не красивое решение. Люди потратили
> >>> массу сил и времени на изобретение сложной логики (и теперь хотят,
> >>> чтобы разработчики nginx'а и все пользователи nginx'а -
> >>> присоединились к процессу, потому что встроить эту логику в
> >>> существующий механизм выбора приоритета шифров - не осилили).
>
> Директива для включения SSL_OP_PRIORITIZE_CHACHA никому бы не помешала.
> Кто не хочет участвовать в процессе - просто не трогают ее и оставляют
> по-дефолту выключенной, а кто хочет участвовать - включает и радуется.
Это очень распространённое заблуждение, будто бы наличие ненужной
директивы - никому не мешает. На самом деле - любая существующая
директива жрёт ресурсы как разработчиков, вынужденных заниматься её
поддержкой, так и всех пользователей, так или иначе натыкающихся
на неё в документации и конфигах, и вынужденных знать, что эта
директива делает.
[...]
> > Мне тут в первую очередь печально, что со стороны OpenSSL
> > получилось очередной ad-hoc решение, требующее отдельной ручки -
> > вместо, например, групп шифров с одинаковым приоритетом в строке
> > спецификации шифров.
>
> А как в nginx в строке спецификации шифров ssl_ciphers
> можно задать группу шифров с одинаковым приоритетом?
Строка шифров интерперетируется OpenSSL'ем. Пока не
напрограммируют - никак.
> > Ну и равно печально, что люди не понимают, что включать
> > ssl_prefer_server_ciphers в отсутствии серьёзных проблем,
> > которые нужно решать на стороне сервера - не стоит.
>
> Включать ssl_prefer_server_ciphers - такое решение рекомендует
> всем людям и https://www.ssllabs.com/ssltest/ и Mozilla в своем
> https://mozilla.github.io/server-side-tls/ssl-config-generator/
> и много кто и где еще.
Это печально. (c)
--
Maxim Dounin
http://mdounin.ru/
Подробная информация о списке рассылки nginx-ru