Вот тут
https://nginx.org/en/docs/http/ngx_http_ssl_module.html
написано:

For the OCSP stapling to work, the certificate of the server certificate
issuer should be known. If the ssl_certificate file does not contain
intermediate certificates, the certificate of the server certificate
issuer should be present in the ssl_trusted_certificate file.

For a resolution of the OCSP responder hostname, the resolver directive
should also be specified.

И ещё:

For verification to work, the certificate of the server certificate
issuer, the root certificate, and all intermediate certificates should
be configured as trusted using the ssl_trusted_certificate directive.

По-этому я взял и сделал всё ровно наоборот: не стал указывать ни
resolver ни ssl_trusted_certificate. Включил только лишь:
ssl_stapling on;
ssl_stapling_verify on;
И мои сертификаты не содержат цепочки доверия, только лишь сам сертификат.

1. Почему ocsp работает и это не отражено в документации?
(я вижу OCSP Response Data в openssl s_client -connect hostname:443
-tls1_2 -tlsextdebug -status)
2. Как вычисляются значения resolver и ssl_trusted_certificate, когда
они не указаны?

nginx 1.14.1-1~bpo9+1 stretch-backports

--
sergio.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru