Hello!

On Mon, Aug 22, 2016 at 03:50:36AM -0400, VVL wrote:

> > Не совсем понятно, что означают слова "последующая проверка любого
> > сертификата". В файле ocsp.der после выполнения команды выше у
> > вас будет OCSP-ответ про конкретный сертификат, для других
> > сертификатов этот ответ не годится. Если вы его дальше пытаетесь
> > подсунуть браузерам с помощью ssl_stapling_file вместе вместе с
> > другим сертификатом - в зависимости от браузера он будет либо
> > проигнорирован, либо приведён к ошибке соединения.
>
> Проверка, проводимая командой
> openssl ocsp -issuer ca.crt -cert example.com.crt -respin ocsp.der
> Выдает cert good для >любого< сертификата, выданного этим CA. Это и удивило.

Вы, вероятно, не туда смотрите. В распечатаном OCSP-ответе будет,
безусловно, "Cert Status: good", но там же рядом будет serial
number того сертификата, к которому этот статус относится. В
конце же будет что-то вроде "example.com.crt: ERROR: No Status
found.", что как бы намекает, что для запрошенного сертификата
статуса в представленном ответе не обнаружено.

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru