Re: OCSP Must Staple
Hello! On Thu, Jul 21, 2022 at 04:12:37PM +0500, Илья Шипицин wrote: > чт, 21 июл. 2022 г. в 16:04, Gena Makhomed : > > > On 21.07.2022 13:42, Илья Шипицин wrote: > > > > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. > > > > Это подробно обсуждалось в 2018 году в этом списке рассылки: > > > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447 > > > > Наиболее интересные сообщения из этого треда: > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html > > > > Если кратко, то суть в том, что OCSP Must Staple включать не нужно. > > > > что в зависимости от экспрессивности может быть кем-то сформулировано > как "OCSP поломан в nginx" > технология неоднозначная, соглашусь Безотносительно неоднозначности технологии, повторю ещё раз то, что написал: "что явно показывает непонимание разницы между OCSP Stapling и требованиями OCSP Must Staple" OCSP Stapling - это технология, которую nginx поддерживает и использование которой можно включить с помощью директивы ssl_stapling. OCSP Must Staple - это _другая_ технология, которая основывается на OCSP Stapling'е и предполагает дополнительные требования к его работе. Реализация OCSP Stapling в nginx'е далека от тех требований, которые предполагает OCSP Must Staple, и поддержку OCSP Must Staple никто никогда не заявлял. Формулировка же "поломан", вне зависимости от экспрессивности, предполагает непонимание того, что OCSP Stapling и OCSP Must Staple - это разные технологии. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
Re: OCSP Must Staple
чт, 21 июл. 2022 г. в 16:04, Gena Makhomed : > On 21.07.2022 13:42, Илья Шипицин wrote: > > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. > > Это подробно обсуждалось в 2018 году в этом списке рассылки: > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447 > > Наиболее интересные сообщения из этого треда: > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html > > Если кратко, то суть в том, что OCSP Must Staple включать не нужно. > что в зависимости от экспрессивности может быть кем-то сформулировано как "OCSP поломан в nginx" технология неоднозначная, соглашусь > > -- > Best regards, > Gena > ___ > nginx-ru mailing list -- nginx-ru@nginx.org > To unsubscribe send an email to nginx-ru-le...@nginx.org > ___ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
OCSP Must Staple
On 21.07.2022 13:42, Илья Шипицин wrote: как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. Это подробно обсуждалось в 2018 году в этом списке рассылки: https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447 Наиболее интересные сообщения из этого треда: https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html Если кратко, то суть в том, что OCSP Must Staple включать не нужно. -- Best regards, Gena ___ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
