Hello! On Sat, May 27, 2017 at 04:44:50PM +0700, Vadim A. Misbakh-Soloviov wrote:
> А что уважаемые разработчики думают об имплементации ssl_* директивы для > указания в ней intermediate-сертификатов/бандлов (чтобы в certificate можно > было указывать только сертификат самого сайта)? Плохое думают. Цепочка является, фактически, частью сертификата, и класть её отдельно - неинтуитивно, неудобно, и приведёт скорее к проблемам с перепутанными цепочками, чем к чему-то положительному. В своё время Игорь сделал одну директиву для сертификата и цепочки вместо принятых двух - отдельно для сертификата, отдельно для цепочки - и это, как мне кажется, было однозначным плюсом в части удобства конфигурирования. Причин вдруг всё менять - не прослеживается. Наоборот, я бы подумал о том, чтобы вместе с сертификатом научиться, скажем, класть ещё и OCSP-ответ для stapling'а, а то вот желающие использовать OCSP stapling и Must-Staple жалуются, что ssl_stapling_file нельзя использовать с несколькими сертификатми. -- Maxim Dounin http://nginx.org/ _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
