Hello!
On Sat, Sep 15, 2018 at 06:20:40PM +0300, Gena Makhomed wrote:
> On 11.09.2018 6:21, Maxim Dounin wrote:
>
> >>>> ssl_stapling on;
> >>>> ssl_stapling_verify on;
> >>>> resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;
>
> >>> Just a side note: использование сторонних DNS-серверов - это
> >>> плохое решение. Цитируя документацию:
>
> >>> : Для предотвращения DNS-спуфинга рекомендуется использовать
> >>> : DNS-серверы в защищённой доверенной локальной сети.
>
> >> Разве сервера 8.8.8.8, 1.1.1.1 и 9.9.9.9 подвержены атаке DNS spoofing?
> >> https://en.wikipedia.org/wiki/DNS_spoofing
>
> > Речь не о том, подвержены ли эти сервера атакам. Речь о том, что
> > при использовании не-локальных DNS-серверов в некотороых случаях
> > становятся возможны атаки на resolver nginx'а, так как он общается
> > с удалённым DNS-сервером - то есть, фактически, открыт для всего
> > мира с точностью до номера порта и 16-битного query id, ибо
> > spoofing IP-адреса в UDP-пакетах проблемы не представляет.
>
> Кстати, на сайте www.nginx.com предлагается использовать
> в конфиге ресолверы 8.8.8.8 и 8.8.4.4. Вот в этой статье:
>
> https://www.nginx.com/blog/improve-seo-https-nginx/
> How to Improve SEO with HTTPS and NGINX
>
> ssl_stapling on;
> ssl_stapling_verify on;
> ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
> resolver 8.8.8.8 8.8.4.4 valid=300s;
Наши маркетологи - к сожалению, далеко не всегда пишут то, что
действительно стоит использовать.
> Если включено ssl_stapling_verify on; - тогда вроде бы нет проблем
> с DNS-спуфингом, поскольку nginx будет отбрасывать те OCSP-ответы,
> которые он не сможет проверить и уязвимости в данном случае не будет?
Не стоит путать отсутствие проблем и наличие механизма,
позволяющего минимизировать ущерб.
--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru