Re: RSA + EC - ocsp stapling ?
Hello! On Tue, Oct 15, 2019 at 07:01:56PM +0500, Илья Шипицин wrote: > вт, 15 окт. 2019 г. в 18:52, Maxim Dounin : > > > Hello! > > > > On Tue, Oct 15, 2019 at 10:49:17AM +0500, Илья Шипицин wrote: > > > > > допустим, у нас сайт на двух сертификатах. включаем директиву > > > > > > ssl_stapling on; > > > > > > для обоих сертификатов должно включиться ? > > > > Да. > > > > > а что надо указывать в директиве > > > > > > *ssl_stapling_file* *файл*; > > > > > > ответ для обоих сертификатов ? > > > > Ничего. Если что-либо указать - то всё содержимое файла будет > > возвращаться всем клиентам в рамках OCSP stapling'а, вне > > зависимости от используемого сертификата, и работать это не будет. > > > > с дилетанской точки зрения выглядит разумным сценарий - первый раз взять > OCSP ответ, сохранить его в файл, дальше отдавать из файла. > такого не ренализовано? Нет. Поведение директивы ssl_stapling_file явно описано в документации (http://nginx.org/r/ssl_stapling_file). -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: RSA + EC - ocsp stapling ?
вт, 15 окт. 2019 г. в 18:52, Maxim Dounin : > Hello! > > On Tue, Oct 15, 2019 at 10:49:17AM +0500, Илья Шипицин wrote: > > > допустим, у нас сайт на двух сертификатах. включаем директиву > > > > ssl_stapling on; > > > > для обоих сертификатов должно включиться ? > > Да. > > > а что надо указывать в директиве > > > > *ssl_stapling_file* *файл*; > > > > ответ для обоих сертификатов ? > > Ничего. Если что-либо указать - то всё содержимое файла будет > возвращаться всем клиентам в рамках OCSP stapling'а, вне > зависимости от используемого сертификата, и работать это не будет. > с дилетанской точки зрения выглядит разумным сценарий - первый раз взять OCSP ответ, сохранить его в файл, дальше отдавать из файла. такого не ренализовано? > > -- > Maxim Dounin > http://mdounin.ru/ > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: RSA + EC - ocsp stapling ?
Hello! On Tue, Oct 15, 2019 at 10:49:17AM +0500, Илья Шипицин wrote: > допустим, у нас сайт на двух сертификатах. включаем директиву > > ssl_stapling on; > > для обоих сертификатов должно включиться ? Да. > а что надо указывать в директиве > > *ssl_stapling_file* *файл*; > > ответ для обоих сертификатов ? Ничего. Если что-либо указать - то всё содержимое файла будет возвращаться всем клиентам в рамках OCSP stapling'а, вне зависимости от используемого сертификата, и работать это не будет. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: RSA + EC - ocsp stapling ?
аналогичный вопрос по директиве *ssl_stapling_responder* *в случае, если несколько сертификатов* вт, 15 окт. 2019 г. в 10:49, Илья Шипицин : > Добрый день! > > допустим, у нас сайт на двух сертификатах. включаем директиву > > ssl_stapling on; > > для обоих сертификатов должно включиться ? > > > а что надо указывать в директиве > > *ssl_stapling_file* *файл*; > > ответ для обоих сертификатов ? > > Илья Шипицин > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru