Welcome! Log In Create A New Profile

Advanced

Re: Странное поведение OCSP Stapling и параметров ssl

Maxim Dounin
August 22, 2016 09:36AM
Hello!

On Mon, Aug 22, 2016 at 03:50:36AM -0400, VVL wrote:

> > Не совсем понятно, что означают слова "последующая проверка любого
> > сертификата". В файле ocsp.der после выполнения команды выше у
> > вас будет OCSP-ответ про конкретный сертификат, для других
> > сертификатов этот ответ не годится. Если вы его дальше пытаетесь
> > подсунуть браузерам с помощью ssl_stapling_file вместе вместе с
> > другим сертификатом - в зависимости от браузера он будет либо
> > проигнорирован, либо приведён к ошибке соединения.
>
> Проверка, проводимая командой
> openssl ocsp -issuer ca.crt -cert example.com.crt -respin ocsp.der
> Выдает cert good для >любого< сертификата, выданного этим CA. Это и удивило.

Вы, вероятно, не туда смотрите. В распечатаном OCSP-ответе будет,
безусловно, "Cert Status: good", но там же рядом будет serial
number того сертификата, к которому этот статус относится. В
конце же будет что-то вроде "example.com.crt: ERROR: No Status
found.", что как бы намекает, что для запрошенного сертификата
статуса в представленном ответе не обнаружено.

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

Странное поведение OCSP Stapling и параметров ssl_

VVL August 20, 2016 04:29AM

Re: Странное поведение OCSP Stapling и параметров ssl

Maxim Dounin August 21, 2016 03:34PM

Re: Странное поведение OCSP Stapling и параметров ssl

VVL August 22, 2016 03:50AM

Re: Странное поведение OCSP Stapling и параметров ssl

VVL August 22, 2016 07:59AM

Re: Странное поведение OCSP Stapling и параметров ssl

Maxim Dounin August 22, 2016 09:36AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 75
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready