OCSP Must Staple

Пт Июл 22 01:28:52 UTC 2022

Hello!

On Thu, Jul 21, 2022 at 04:12:37PM +0500, Илья Шипицин wrote:

> чт, 21 июл. 2022 г. в 16:04, Gena Makhomed <gmm на csdoc.com>:
> 
> > On 21.07.2022 13:42, Илья Шипицин wrote:
> >
> > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
> >
> > Это подробно обсуждалось в 2018 году в этом списке рассылки:
> >
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447
> >
> > Наиболее интересные сообщения из этого треда:
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html
> >
> > Если кратко, то суть в том, что OCSP Must Staple включать не нужно.
> >
> 
> .... что в зависимости от экспрессивности может быть кем-то сформулировано
> как "OCSP поломан в nginx"
> технология неоднозначная, соглашусь

Безотносительно неоднозначности технологии, повторю ещё раз то, 
что написал:

"что явно показывает непонимание разницы между OCSP Stapling и
требованиями OCSP Must Staple"

OCSP Stapling - это технология, которую nginx поддерживает и 
использование которой можно включить с помощью директивы 
ssl_stapling.  OCSP Must Staple - это _другая_ технология, которая 
основывается на OCSP Stapling'е и предполагает дополнительные 
требования к его работе.  Реализация OCSP Stapling в nginx'е 
далека от тех требований, которые предполагает OCSP Must Staple, и 
поддержку OCSP Must Staple никто никогда не заявлял.

Формулировка же "поломан", вне зависимости от экспрессивности, 
предполагает непонимание того, что OCSP Stapling и OCSP Must 
Staple - это разные технологии.

-- 
Maxim Dounin
http://mdounin.ru/