RSA + EC - ocsp stapling ?

[Maxim Dounin]

Hello!

On Tue, Oct 15, 2019 at 07:01:56PM +0500, Илья Шипицин wrote:

> вт, 15 окт. 2019 г. в 18:52, Maxim Dounin <mdounin at mdounin.ru>:
> 
> > Hello!
> >
> > On Tue, Oct 15, 2019 at 10:49:17AM +0500, Илья Шипицин wrote:
> >
> > > допустим, у нас сайт на двух сертификатах. включаем директиву
> > >
> > > ssl_stapling on;
> > >
> > > для обоих сертификатов должно включиться ?
> >
> > Да.
> >
> > > а что надо указывать в директиве
> > >
> > > *ssl_stapling_file* *файл*;
> > >
> > > ответ для обоих сертификатов ?
> >
> > Ничего.  Если что-либо указать - то всё содержимое файла будет
> > возвращаться всем клиентам в рамках OCSP stapling'а, вне
> > зависимости от используемого сертификата, и работать это не будет.
> >
> 
> с дилетанской точки зрения выглядит разумным сценарий - первый раз взять
> OCSP ответ, сохранить его в файл, дальше отдавать из файла.
> такого не ренализовано?

Нет.  Поведение директивы ssl_stapling_file явно описано в 
документации (http://nginx.org/r/ssl_stapling_file).

-- 
Maxim Dounin
http://mdounin.ru/