Welcome! Log In Create A New Profile

Advanced

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин
September 18, 2018 06:00PM
ср, 19 сент. 2018 г. в 2:26, Gena Makhomed <gmm@csdoc.com>:

> On 18.09.2018 20:03, Maxim Dounin wrote:
>
> >>>> Кстати, пользователи жалуются, что есть BUG в nginx,
> >>>> связанный с сертификатами с флагом "OCSP Must Staple":
> >>>> https://blog.crashed.org/nginx-stapling-busted/
>
> >>> Потому что "Must Staple" - это попытка превратить OCSP stapling
> >>> из механизма оптимизации в обязательный механизм, аналогичный
> >>> короткоживущим сертификатам. Не сюрприз, что так не работает -
> >>> требования совершенно разные.
>
> >> RFC 7633 был создан сотрудником Comodo, в RFC он пишет,
> >> что цель RFC - "prevents a denial-of-service attack".
> >>
> >> Сейчас, если кто-то с помощью DDoS-атаки заблокирует OCSP responder
> >> - клиенты не смогут отличить отозванный сертификат от действительного.
> >>
> >> При массовом внедрении флага OCSP Must-Staple в сертификаты
> >> - делать DDoS-атаки на OCSP responder не будет иметь смысла.
> >>
> >> То есть цель у флага OCSP Must-Staple наверное та же самая,
> >> что и у OCSP Stapling - снизить нагрузку на инфраструктуру CA.
>
> > Цель "Must Staple", как она обсуждалась на cabforum'е - сделать
> > обязательной проверку отзыва, не нагружая дополнительно
> > инфраструктуру CA.
> >
> > Проблема в том, что нельзя просто так взять механизм оптимизации и
> > сделать из него механизм контроля, это две разные задачи, которые
> > надо решать по-разному.
>
> Если задача стоит "сделать обязательной проверку отзыва,
> не нагружая дополнительно инфраструктуру CA" - как же можно
> решить эту задачу другими методами, без флага Must Staple?
>


SSL соединение может быть установлено, если сервер использует

а) действующий сертификат (на текущий момент времени)
б) сертификат серверного типа
в) сертификат не отозван (это можно проверить через CRL)


это, собственно, "другие" методы. известные еще нашим отцам и дедам.
но исторически в части CRL все работало не очень стабильно, и браузеры
де факто
не делают проблемы, если не могут скачать CRL

вероятно, они так же не будут делать проблемы с сертами Must Staple


>
> Ведь флаг "обязательно проверять отзыв через OCSP" создаст
> очень большую нагрузку на CA - это будет хуже чем Must Staple.
> Тем более, что сейчас Google Chrome OCSP вообще не использует.
>
> Если добавить в сертификат флаг о том, как следует относиться
> к ошибкам проверки отзыва сертификата - у него может быть всего
> два варианта, soft fail (то же самое что и отсутствие этого флага),
> и hard fail, это вариант "Must Staple" перенесенный на уровень браузера,
> то есть это будет равно флагу "обязательно проверять отзыв через OCSP".
>
> >>> Любители Must Staple общаются в траке в двух тикетах:
> >>>
> >>> https://trac.nginx.org/nginx/ticket/812
> >>> https://trac.nginx.org/nginx/ticket/990
> >>>
> >>> Пока что они делают это с нулевым полезным выходом.
>
> >> Они в основном там просят сделать возможным указывать в конфиге
> >> несколько директив ssl_stapling_file для ECDSA и RSA сертификатов.
> >>
> >> Но есть ведь и другие способы решения этой проблемы, например,
> >> чтобы nginx получал OCSP-ответ для сертификата с Must-Staple до того,
> >> как он отправит свой ответ клиенту. Пользователю ведь нет разницы, кто
> >> сходит за OCSP-ответом для сертификата - или браузер или сам веб-сервер.
>
> > Проблема для начала в том, что в OpenSSL нет возможности подождать
> > получения OCSP-ответа, не блокируя рабочий процесс nginx'а.
>
> Насколько я понимаю из исходников, nginx делает запрос к OCSP
> серверу самостоятельно, не блокируя рабочий процесс nginx'а.
>
> Очень похожий функционал запроса с "ожиданием" уже реализован в nginx,
> в директиве proxy_cache_lock - там ведь рабочий процесс не блокируется.
>
> > Я не считаю использование "ssl_prefer_server_ciphers on"
> > правильным приблизительно нигде, кроме ситуаций, когда автор
> > конфигурации чётко понимает, чего он хочет добиться, и регулярно
> > занимается анализом и пересмотром списка используемых шифров.
> >
> > И даже в этом случае - его использование подчас выходит боком, как
> > например с выбором AES vs. ChaCha20:
> >
> > https://trac.nginx.org/nginx/ticket/1445
>
> Теперь понял, спасибо за подробное объяснение по этому вопросу.
>


на Xeon chacha20 проигрывает, мы сравнили

openssl speed -evp chacha20

с

openssl speed -evp aes-128-gcm

желание приоритезировать chacha20 отпало


>
> Кстати, в веб-сервере gws, который обслуживает сайт www.google.com
> эта проблема с AES vs. ChaCha20 уже успешно решена, ssltest говорит,
> что "This server prefers ChaCha20 suites with clients
> that don't have AES-NI (e.g., Android devices)"
>
> --
> Best regards,
> Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 06, 2018 11:28AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 10, 2018 09:06AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 10, 2018 03:40PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 10, 2018 04:24PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 10, 2018 05:01PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 03:08AM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 10, 2018 04:52PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 10, 2018 11:22PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 04:12AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 04:16AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 11, 2018 08:40AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 10:42AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 11, 2018 11:06AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 11, 2018 12:00PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 11, 2018 03:00PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 12, 2018 10:38AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 15, 2018 07:36AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 16, 2018 07:38PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 17, 2018 09:06AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 18, 2018 10:02AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 12:20PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 01:30PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 01:50PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 03:10PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 18, 2018 01:04PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 18, 2018 04:10PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 06:54PM

Re: OCSP stapling in Nginx >=1.3.7

ngnx8810773a83 September 19, 2018 07:46PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 18, 2018 05:28PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 18, 2018 06:00PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 03:26PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 19, 2018 03:54PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 02:58PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 06:32PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 19, 2018 08:08PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 19, 2018 10:42PM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 20, 2018 02:32AM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 20, 2018 09:02AM

Re: OCSP stapling in Nginx >=1.3.7

Илья Шипицин September 20, 2018 09:52AM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 20, 2018 01:56PM

Re: OCSP stapling in Nginx >=1.3.7

Maxim Dounin September 20, 2018 07:48PM

Re: OCSP stapling in Nginx >=1.3.7

Gena Makhomed September 21, 2018 12:42PM

How to Improve SEO with HTTPS and NGINX

Gena Makhomed September 15, 2018 11:22AM

Re: How to Improve SEO with HTTPS and NGINX

Maxim Dounin September 16, 2018 07:44PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 181
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready