ssl_stapling without ssl_trusted_certificate

[Maxim Dounin]

Hello!

On Mon, Apr 01, 2019 at 06:15:41PM +0300, sergio wrote:

> On 01/04/2019 17:44, Maxim Dounin wrote:
> 
> > либо обращений к OCSP-серверу нет
> 
> обращения есть, я их вижу в query.log бинда, при старте энджинкса

В query.log бинда невозможно увидеть обращения к OCSP-серверу.  
Максимум, что там можно увидеть - это резолвинг имени 
OCSP-сервера.  На старте, как я уже писал, делается резолвинг 
имени с использованием системного резолвера.  В процессе работы - 
при обращениях к OCSP-серверу резолвинг его имени делается с 
использованием DNS-сервера, заданного директивой resolver.

> > либо resolver таки defined
> 
> вне зависимости от того, закомментирована ли строчка
> "resolver localhost;" в conf.d/ssl.conf или нет
> 
> 
> > либо логов нужного уровня нет, либо вы неправильно в них смотрите
> 
> логи есть, смотрю их правильно

Давайте пойдём простым путём.  Покажите вывод "nginx -V", "nginx -T" 
и debug log с обращением к OCSP-серверу.  Подробнее о том, как 
получить debug log, тут:

http://nginx.org/en/docs/debugging_log.html

Отмечу на всякий случай, что обращение к OCSP-серверу в норме 
происходит в момент первого SSL handshake'а с расширением 
status_request, то есть при первом соединении через

openssl s_client -connect <ip>:443 -status | grep OCSP

и OCSP-ответа в этом соединении не будет.  Если OCSP-ответ есть - 
значит, соединение не первое, и соответственно обращение к 
OCSP-серверу было раньше.

> Судя про тому, что при отсутствии resolver используется localhost а не
> IP OCSP, видимо есть какая-то умолчательная логика?

Нет.

-- 
Maxim Dounin
http://mdounin.ru/