On 11.09.2018 6:21, Maxim Dounin wrote:
>>>> ssl_stapling on;
>>>> ssl_stapling_verify on;
>>>> resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;
>>> Just a side note: использование сторонних DNS-серверов - это
>>> плохое решение. Цитируя документацию:
>>> : Для предотвращения DNS-спуфинга рекомендуется использовать
>>> : DNS-серверы в защищённой доверенной локальной сети.
>> Разве сервера 8.8.8.8, 1.1.1.1 и 9.9.9.9 подвержены атаке DNS spoofing?
>> https://en.wikipedia.org/wiki/DNS_spoofing
> Речь не о том, подвержены ли эти сервера атакам. Речь о том, что
> при использовании не-локальных DNS-серверов в некотороых случаях
> становятся возможны атаки на resolver nginx'а, так как он общается
> с удалённым DNS-сервером - то есть, фактически, открыт для всего
> мира с точностью до номера порта и 16-битного query id, ибо
> spoofing IP-адреса в UDP-пакетах проблемы не представляет.
Кстати, на сайте www.nginx.com предлагается использовать
в конфиге ресолверы 8.8.8.8 и 8.8.4.4. Вот в этой статье:
https://www.nginx.com/blog/improve-seo-https-nginx/
How to Improve SEO with HTTPS and NGINX
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
Если включено ssl_stapling_verify on; - тогда вроде бы нет проблем
с DNS-спуфингом, поскольку nginx будет отбрасывать те OCSP-ответы,
которые он не сможет проверить и уязвимости в данном случае не будет?
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru