Welcome! Log In Create A New Profile

Advanced

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed
September 10, 2018 03:40PM
On 10.09.2018 16:04, Maxim Dounin wrote:

>> Если с помощью Let's Encrypt сделать SSL-сертификат
>> для домена,например, example.com то в файле
>> /etc/letsencrypt/live/example.com/README
>> будет такая информация:
>>
>> `chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
>>
>> Чтобы nginx использовал файл chain.pem для OCSP stapling
>> необходимо прописать в конфиге
>>
>> ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
>> ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
>> ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
>>
>> ssl_stapling on;
>> ssl_stapling_verify on;
>> resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;
>>
>> я правильно понимаю?

> Just a side note: использование сторонних DNS-серверов - это
> плохое решение. Цитируя документацию:

> : Для предотвращения DNS-спуфинга рекомендуется использовать
> : DNS-серверы в защищённой доверенной локальной сети.

Разве сервера 8.8.8.8, 1.1.1.1 и 9.9.9.9 подвержены атаке DNS spoofing?
https://en.wikipedia.org/wiki/DNS_spoofing

>> Смущает тот факт, что если закомментировать
>> в конфиге директиву ssl_trusted_certificate
>> - никаких предупреждений не выводится во время
>> тестирования конфигурации и никаких сообщений
>> не пишется в лог во время systemctl reload nginx

> Верификация OCSP-ответов - происходит только в момент собственно
> получения этих ответов. Соответственно каких-либо ошибок в логе
> стоит ожидать только после того, как к соответствующему server'у
> будет установлено первое соединение с запросом stapling'а.

Но если в конфиге нет директивы ssl_trusted_certificate то директива
ssl_stapling_verify on; сейчас работать не сможет в 100% случаев?

> Кроме того, в некоторых случаях для проверки может хватить
> сертификатов, уже присутствующих в цепочке сертификата (по идее
> должно хватать issuer cert, которые есть в цепочке почти всегда,
> но, к сожалению, соответствующие функции в OpenSSL, cкажем так,
> оставляют желать - и это, собственно, основная причина, почему
> ssl_stapling_verify не используется по умолчанию).

Но ведь SSL сертификаты - это обычные текстовые файлы.
Например, если для сайта example.com сравнить два файла

/etc/letsencrypt/live/example.com/fullchain.pem
/etc/letsencrypt/live/example.com/chain.pem

то видно что файл chain.pem равен файлу fullchain.pem
плюс дополнительный сертификат сайта на самом верху.

Можно ли сделать для директивы ssl_trusted_certificate параметр auto
который будет означать автоматическое получение файла chain.pem путем
вырезания самого первого сертификата из файла fullchain.pem?

В таком случае можно было бы сделать значением по-умолчанию
ssl_trusted_certificate auto; и ssl_stapling_verify on;
И веб-сервер nginx тогда будет "Secure by default".

Хотя, проверка клиентских сертификатов и проверка ответов OCSP
- это две совсем разные задачи, странно что для них используется
в nginx одна и та же директива ssl_trusted_certificate.

Не лучше ли было бы для этих двух разных задач
иметь и две разные директивы?

Например,
ssl_trusted_certificate - только для проверки клиентских сертификатов
и ssl_stapling_trusted_certificate - только для проверки ответов OCSP

и уже для директивы ssl_stapling_trusted_certificate
сделать значение по-умолчанию равное auto?

IMHO это был бы практически идеальный вариант,
поскольку будет работать предсказуемым образом
вне зависимости от имени и версии используемой
при сборке nginx SSL-библиотеки.

>> Насколько я понимаю, ssl_stapling_verify on
>> следует включать всегда, потому что общение
>> с OCSP сервером происходит по протоколу HTTP?
>> По крайней мере, в самом сертификате написано:
>> OCSP: URI: http://ocsp.int-x3.letsencrypt.org

> Да, общение с OCSP-сервером происходит по HTTP. Но на самом деле
> это мало влияет на то, следует ли использовать ssl_stapling_verify
> или нет - самому nginx'у всё равно, что написано в OCSP-ответе.
> Вопрос в первую очередь в поведении браузеров.

> Когда я последний углублялся в тему - Firefox остро реагировал на
> некорректные OCSP-ответы в стаплинге, не пытаясь самостоятельно
> перезапросить OCSP-ответ с OCSP-сервера, и это естественным
> образом приводило к тому, что подсунув серверу некорректный
> OCSP-ответ - можно было выключить его для всех пользователей
> Firefox'а[1]. Что, впрочем, не мешало Apache не иметь даже
> возможности для верификации OCSP-ответов. Не в курсе, изменилось
> ли с тех пор что-нибудь.
>
> [1] https://trac.nginx.org/nginx/ticket/425#comment:2

То есть, ssl_stapling_verify on; в nginx следует включать всегда
и нет никаких разумных причин, почему системный администратор
может захотеть сделать ssl_stapling_verify off; для своего сайта?

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 06, 2018 11:28AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 10, 2018 09:06AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 10, 2018 03:40PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 10, 2018 04:24PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 10, 2018 05:01PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 03:08AM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 10, 2018 04:52PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 10, 2018 11:22PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 04:12AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 04:16AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 11, 2018 08:40AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 10:42AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 11:06AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 11, 2018 12:00PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 03:00PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 12, 2018 10:38AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 15, 2018 07:36AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 16, 2018 07:38PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 17, 2018 09:06AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 18, 2018 10:02AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 12:20PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 01:30PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 01:50PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 03:10PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 01:04PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 18, 2018 04:10PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 06:54PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 19, 2018 07:46PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 18, 2018 05:28PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 06:00PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 03:26PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 19, 2018 03:54PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 02:58PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 06:32PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 08:08PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 10:42PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 20, 2018 02:32AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 20, 2018 09:02AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 20, 2018 09:52AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 20, 2018 01:56PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 20, 2018 07:48PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 21, 2018 12:42PM

How to Improve SEO with HTTPS and NGINX

Gena Makhomed September 15, 2018 11:22AM

Re: How to Improve SEO with HTTPS and NGINX

Maxim Dounin September 16, 2018 07:44PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 127
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready