Hello!

On Mon, Apr 17, 2017 at 03:48:00AM -0400, VVL wrote:

> "будет использоваться для всех соединений в данном сервере"
> Виртуальном сервере? В моей конфигурации для каждого виртуального хоста свой
> stapling файл, при тестах сервер отвечает на все запросы.

Речь про блок конфигурации server{}.

> "использовать для получения OCSP-ответов для stapling'а сам nginx, он это
> умеет"
> Умеет, но к сожалению, ocsp-сервер не всегда отвечает. Именно поэтому
> кэширую локально (скрипт не успокоится, пока не получит ответ и не обновит
> файл). Или nginx тоже кэширует ответы? В каком случае они сбрасываются?

Ответы кешируются в рамках рабочего процесса, и возвращаются
клиентам вплоть до получения нового OCSP-ответа или истечения
указанного в ответе срока годности. Соответственно, наиболее
неприятный момент - это перезагрузка конфигурации в тот момент,
когда OCSP-сервер не отвечает.

Но вообще, если OCSP-сервер не всегда отвечает - это повод сменить
CA.

> "можно попробовать поднять локально OCSP-responder"
> Задача к счастью намного (надеюсь) проще - получить минимальный и
> гарантированный ответ при OCSP запросе.

Что уж может быть проще, чем поднять proxy с кешированием.
Впрочем, смотри выше про "сменить CA".

Отмечу также в скобках, что OCSP stapling - это механизм
оптимизации, позволяющий снять работу (точнее, часть работы) по
получению OCSP-ответов с клиентов и переложить её на сервер.
Странно ожидать от этого механизма гарантированности чего либо.

--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru