Hello! On Thu, Sep 06, 2018 at 06:26:25PM +0300, Gena Makhomed wrote:
> Здравствуйте, All! > > Если с помощью Let's Encrypt сделать SSL-сертификат > для домена,например, example.com то в файле > /etc/letsencrypt/live/example.com/README > будет такая информация: > > `chain.pem` : used for OCSP stapling in Nginx >=1.3.7. > > Чтобы nginx использовал файл chain.pem для OCSP stapling > необходимо прописать в конфиге > > ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; > ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; > ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; > > ssl_stapling on; > ssl_stapling_verify on; > resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off; > > я правильно понимаю? Just a side note: использование сторонних DNS-серверов - это плохое решение. Цитируя документацию: : Для предотвращения DNS-спуфинга рекомендуется использовать : DNS-серверы в защищённой доверенной локальной сети. > Смущает тот факт, что если закомментировать > в конфиге директиву ssl_trusted_certificate > - никаких предупреждений не выводится во время > тестирования конфигурации и никаких сообщений > не пишется в лог во время systemctl reload nginx Верификация OCSP-ответов - происходит только в момент собственно получения этих ответов. Соответственно каких-либо ошибок в логе стоит ожидать только после того, как к соответствующему server'у будет установлено первое соединение с запросом stapling'а. Кроме того, в некоторых случаях для проверки может хватить сертификатов, уже присутствующих в цепочке сертификата (по идее должно хватать issuer cert, которые есть в цепочке почти всегда, но, к сожалению, соответствующие функции в OpenSSL, cкажем так, оставляют желать - и это, собственно, основная причина, почему ssl_stapling_verify не используется по умолчанию). > Насколько я понимаю, ssl_stapling_verify on > следует включать всегда, потому что общение > с OCSP сервером происходит по протоколу HTTP? > По крайней мере, в самом сертификате написано: > OCSP: URI: http://ocsp.int-x3.letsencrypt.org Да, общение с OCSP-сервером происходит по HTTP. Но на самом деле это мало влияет на то, следует ли использовать ssl_stapling_verify или нет - самому nginx'у всё равно, что написано в OCSP-ответе. Вопрос в первую очередь в поведении браузеров. Когда я последний углублялся в тему - Firefox остро реагировал на некорректные OCSP-ответы в стаплинге, не пытаясь самостоятельно перезапросить OCSP-ответ с OCSP-сервера, и это естественным образом приводило к тому, что подсунув серверу некорректный OCSP-ответ - можно было выключить его для всех пользователей Firefox'а[1]. Что, впрочем, не мешало Apache не иметь даже возможности для верификации OCSP-ответов. Не в курсе, изменилось ли с тех пор что-нибудь. [1] https://trac.nginx.org/nginx/ticket/425#comment:2 -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru