ssl_stapling without ssl_trusted_certificate

Пт Апр 12 13:34:52 UTC 2019

Hello!

On Fri, Apr 12, 2019 at 12:02:39AM +0300, sergio via nginx-ru wrote:

> On 11/04/2019 22:56, Maxim Dounin wrote:
> 
> Я подписан, не надо меня в cc включать.

У вас в DMARC policy написано "p=quarantine", в результате Mailman 
в ваших письмах переписывает адрес отправителя на "sergio via 
nginx-ru <nginx-ru at nginx.org>" и добавляет Cc.  Соответственно при 
ответе на такое письмо - также случается Cc.  Подробнее тут:

https://wikitech.wikimedia.org/wiki/Mailman#DMARC_Compatibility

Что с этим можно сделать, кроме как запретить постинг людям с 
подобными DMARC-политиками - я, честно говоря, не знаю.  Вы, со 
своей стороны, можете убрать DMARC-политику, дуло исчезнет.

> > Директиву error_log следует указывать на глобальном уровне.
> 
> Ага!
> 
> > при каждом обращении к OCSP-серверу ругаясь в логи про "no resolver
> > defined to resolve ..." на уровне warn.
> 
> Действительно, ругается, всё встало на свои места, спасибо!
> 
> > В случае, если resolver не указан, и при этом включён OCSP stapling
> > - nginx будет пытаться использовать IP-адреса OCSP-сервера, полученные
> > при старте
> 
> Полученные от кого?

От системы, при помощи функции getaddrinfo() (или gethostbyname(), 
если getaddrinfo() нет).  Обычно это выливается в использование 
конфигурации в /etc/nsswitch.conf, а далее /etc/hosts и системного 
DNS-резолвера, с конфигурацией в /etc/resolv.conf, но бывают и 
другие реализации - всё зависит от конкретной операционной системы.

-- 
Maxim Dounin
http://mdounin.ru/