OCSP stapling in Nginx >=1.3.7

[Gena Makhomed]

On 21.09.2018 2:46, Maxim Dounin wrote:

>> Но если OCSP responder работает нормально и оказался не доступен
>> на небольшой промежуток времени, например, всего на несколько
>> часов - такой проблемы не будет.

> Такая проблема совершенно точно будет - даже при идеальном
> кэшировании доступных OCSP-ответов. В частности, даже в этом
> треде уже есть пример с зафильтрованным OCSP responder'ом.

Если OCSP responder не работает или по какой-то другой причине
не доступен веб-серверу длительное время - тогда да, проблема будет.

Но если веб-сервер может получать валидные ответы от OCSP responder'а
и реализовано идеальное кеширование ответов - проблем быть не должно.

> Отрицать проблему - глупо.
> И хороших решений в рамках парадигмы "must staple" - не существует.

При недоступном/неработающем responder'е проблема будет в любом случае.
Даже если вместо флага Must Staple будет флаг "всегда проверять отзыв".

В этом случае и веб-сервер не сможет прикрепить OCSP-ответ и браузер
не сможет получить ответ от недоступного/неработающего responder'а.

В результате - точно так же можно сказать в ответ, что хороших решений
в рамках парадигмы "всегда проверять отзыв сертификата" - не существует.

Я не спорю с тем, что флаг "всегда проверять отзыв" был бы гораздо
лучше, чем имеющийся сейчас в наличии флаг "must staple" и RFC к нему.

Поменять флаг "must staple" на флаг "всегда проверять отзыв" мы уже
никак не можем, флаг "must staple" уже используется СА и браузерами.

Но вот сделать кэширование OCSP-ответов идеальным - это вполне возможно,
так чтобы проблемы с Must Staple сертификатами из-за nginx уже не будет.

-- 
Best regards,
  Gena