OCSP stapling in Nginx >=1.3.7

Maxim Dounin mdounin на mdounin.ru
Чт Сен 20 23:46:20 UTC 2018


Hello!

On Thu, Sep 20, 2018 at 08:55:30PM +0300, Gena Makhomed wrote:

[...]

> Но если OCSP responder работает нормально и оказался не доступен
> на небольшой промежуток времени, например, всего на несколько
> часов - такой проблемы не будет.

Такая проблема совершенно точно будет - даже при идеальном 
кэшировании доступных OCSP-ответов.  В частности, даже в этом 
треде уже есть пример с зафильтрованным OCSP responder'ом.  
Отрицать проблему - глупо.  И хороших решений в рамках парадигмы 
"must staple" - не существует.

[...]

> >>> Это что угодно, но только не красивое решение. Люди потратили
> >>> массу сил и времени на изобретение сложной логики (и теперь хотят,
> >>> чтобы разработчики nginx'а и все пользователи nginx'а -
> >>> присоединились к процессу, потому что встроить эту логику в
> >>> существующий механизм выбора приоритета шифров - не осилили).
> 
> Директива для включения SSL_OP_PRIORITIZE_CHACHA никому бы не помешала.
> Кто не хочет участвовать в процессе - просто не трогают ее и оставляют
> по-дефолту выключенной, а кто хочет участвовать - включает и радуется.

Это очень распространённое заблуждение, будто бы наличие ненужной 
директивы - никому не мешает.  На самом деле - любая существующая 
директива жрёт ресурсы как разработчиков, вынужденных заниматься её 
поддержкой, так и всех пользователей, так или иначе натыкающихся 
на неё в документации и конфигах, и вынужденных знать, что эта 
директива делает.

[...]

> > Мне тут в первую очередь печально, что со стороны OpenSSL
> > получилось очередной ad-hoc решение, требующее отдельной ручки -
> > вместо, например, групп шифров с одинаковым приоритетом в строке
> > спецификации шифров.
> 
> А как в nginx в строке спецификации шифров ssl_ciphers
> можно задать группу шифров с одинаковым приоритетом?

Строка шифров интерперетируется OpenSSL'ем.  Пока не 
напрограммируют - никак.

> > Ну и равно печально, что люди не понимают, что включать
> > ssl_prefer_server_ciphers в отсутствии серьёзных проблем, 
> > которые нужно решать на стороне сервера - не стоит.
> 
> Включать ssl_prefer_server_ciphers - такое решение рекомендует
> всем людям и https://www.ssllabs.com/ssltest/ и Mozilla в своем
> https://mozilla.github.io/server-side-tls/ssl-config-generator/
> и много кто и где еще.

Это печально. (c)

-- 
Maxim Dounin
http://mdounin.ru/


Подробная информация о списке рассылки nginx-ru