Hello!

On Sun, Mar 31, 2019 at 09:10:15PM +0300, sergio wrote:

> Вот тут
> https://nginx.org/en/docs/http/ngx_http_ssl_module.html
> написано:
>
> For the OCSP stapling to work, the certificate of the server certificate
> issuer should be known. If the ssl_certificate file does not contain
> intermediate certificates, the certificate of the server certificate
> issuer should be present in the ssl_trusted_certificate file.
>
> For a resolution of the OCSP responder hostname, the resolver directive
> should also be specified.
>
> И ещё:
>
> For verification to work, the certificate of the server certificate
> issuer, the root certificate, and all intermediate certificates should
> be configured as trusted using the ssl_trusted_certificate directive.
>
> По-этому я взял и сделал всё ровно наоборот: не стал указывать ни
> resolver ни ssl_trusted_certificate. Включил только лишь:
> ssl_stapling on;
> ssl_stapling_verify on;
> И мои сертификаты не содержат цепочки доверия, только лишь сам сертификат.
>
> 1. Почему ocsp работает и это не отражено в документации?
> (я вижу OCSP Response Data в openssl s_client -connect hostname:443
> -tls1_2 -tlsextdebug -status)

Если issuer'а нет ни в цепочке сертификатов в ssl_certificate, ни
в доверенных сертификатах ssl_trusted_certificate (либо
ssl_client_certificate, см. описания соответствующих директив), то
OCSP stapling будет работать только при явном задании OCSP-ответа
с помощью директивы ssl_stapling_file.

Если же директива ssl_stapling_file не используется, и issuer
certificate найти не получилось - на старте nginx ругнётся в лог
на уровне warn словами "issuer certificate not found" и отключит
stapling.

> 2. Как вычисляются значения resolver и ssl_trusted_certificate, когда
> они не указаны?

Никак, с точностью до того, что если соответствующие директивы
таки указаны на предыдущих уровнях - то будут, естветственно,
использоватся значения, заданные на предыдущих уровнях.

В случае, если resolver не указан, и при этом включён OCSP
stapling - nginx будет пытаться использовать IP-адреса
OCSP-сервера, полученные при старте,
при каждом обращении к OCSP-серверу ругаясь в логи про "no
resolver defined to resolve ..." на уровне warn.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru