Hello!

On Sat, May 27, 2017 at 04:44:50PM +0700, Vadim A. Misbakh-Soloviov wrote:

> А что уважаемые разработчики думают об имплементации ssl_* директивы для
> указания в ней intermediate-сертификатов/бандлов (чтобы в certificate можно
> было указывать только сертификат самого сайта)?

Плохое думают. Цепочка является, фактически, частью сертификата,
и класть её отдельно - неинтуитивно, неудобно, и приведёт скорее к
проблемам с перепутанными цепочками, чем к чему-то положительному.

В своё время Игорь сделал одну директиву для сертификата и цепочки
вместо принятых двух - отдельно для сертификата, отдельно для
цепочки - и это, как мне кажется, было однозначным плюсом в части
удобства конфигурирования. Причин вдруг всё менять - не
прослеживается.

Наоборот, я бы подумал о том, чтобы вместе с сертификатом
научиться, скажем, класть ещё и OCSP-ответ для stapling'а, а то
вот желающие использовать OCSP stapling и Must-Staple жалуются,
что ssl_stapling_file нельзя использовать с несколькими
сертификатми.

--
Maxim Dounin
http://nginx.org/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru