certbot

Илья Шипицин chipitsine на gmail.com
Чт Июл 21 10:47:21 UTC 2022


чт, 21 июл. 2022 г. в 15:42, Илья Шипицин <chipitsine на gmail.com>:

>
>
> чт, 21 июл. 2022 г. в 01:01, Maxim Dounin <mdounin на mdounin.ru>:
>
>> Hello!
>>
>> On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:
>>
>> > Коллеги,
>> >
>> > (чуть запоздало)
>> >
>> > On Thu, 7 Jul 2022, Maxim Dounin wrote:
>> >
>> > [snip]
>> >
>> > > И нет, наличие проблемы "авторы считают возможным менять конфиги"
>> > > в одном из вариантов использования - не означает, что в других
>> > > вариантах использования проблем нет.  Наличие такой проблемы
>> > > означает, что авторы не понимают проблему, и что там ещё и где
>> > > разложено или будет разложено в будущем - неизвестно.  И лично я
>> > > предпочитаю пользоваться тем, что работает, и рекомендовать его
>> > > же.
>> >
>> > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с
>> тех пор
>> > скриптовать стало проще и, что ли, "повторяемее")
>> >
>> > https://blog.crashed.org/letsencrypt-in-freebsd-org/
>>
>> Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не
>> могу: начиная от утверждений про "servers require a full restart
>> to re-load the certificates if the filename is unchanged", что
>> применительно к nginx'у совершенно точно неправда, и заканчивая
>> утверждениями про "nginx is broken" в части ocsp-must-staple, что
>> явно показывает непонимание разницы между OCSP Stapling и
>> требованиями OCSP Must Staple.
>>
>
> не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть
> вопросы.
>
> на что мы налетали.
> пишу я допустим "ssl_ocsp on"
>

тут наврал, мы писали "ssl_stapling on;"


>
> включаю - все работает, все счастливы.
> всем шампанское.
>
>
> потом, случайным образом - не работает. потом опять работает.
>
> смотрим под капот - при старте nginx идет обращение к OCSP и формируется
> (или не формируется) staple.
> не формируется в зависимости от миллиона причин. в нашем случае nginx
> стартовал при недоступных днс серверах (это один из штатных режимов
> запуска).
>
> по логу - ок, пишем warning, и едем дальше с отключенным OCSP.
>
> как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
>
>>
>> --
>> Maxim Dounin
>> http://mdounin.ru/
>> _______________________________________________
>> nginx-ru mailing list -- nginx-ru на nginx.org
>> To unsubscribe send an email to nginx-ru-leave на nginx.org
>>
>
----------- следующая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20220721/4edf14cd/attachment.htm>


Подробная информация о списке рассылки nginx-ru