On 21.09.2018 2:46, Maxim Dounin wrote:
>> Но если OCSP responder работает нормально и оказался не доступен
>> на небольшой промежуток времени, например, всего на несколько
>> часов - такой проблемы не будет.
> Такая проблема совершенно точно будет - даже при идеальном
> кэшировании доступных OCSP-ответов. В частности, даже в этом
> треде уже есть пример с зафильтрованным OCSP responder'ом.
Если OCSP responder не работает или по какой-то другой причине
не доступен веб-серверу длительное время - тогда да, проблема будет.
Но если веб-сервер может получать валидные ответы от OCSP responder'а
и реализовано идеальное кеширование ответов - проблем быть не должно.
> Отрицать проблему - глупо.
> И хороших решений в рамках парадигмы "must staple" - не существует.
При недоступном/неработающем responder'е проблема будет в любом случае.
Даже если вместо флага Must Staple будет флаг "всегда проверять отзыв".
В этом случае и веб-сервер не сможет прикрепить OCSP-ответ и браузер
не сможет получить ответ от недоступного/неработающего responder'а.
В результате - точно так же можно сказать в ответ, что хороших решений
в рамках парадигмы "всегда проверять отзыв сертификата" - не существует.
Я не спорю с тем, что флаг "всегда проверять отзыв" был бы гораздо
лучше, чем имеющийся сейчас в наличии флаг "must staple" и RFC к нему.
Поменять флаг "must staple" на флаг "всегда проверять отзыв" мы уже
никак не можем, флаг "must staple" уже используется СА и браузерами.
Но вот сделать кэширование OCSP-ответов идеальным - это вполне возможно,
так чтобы проблемы с Must Staple сертификатами из-за nginx уже не будет.
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru