Hello!

On Mon, Apr 01, 2019 at 06:15:41PM +0300, sergio wrote:

> On 01/04/2019 17:44, Maxim Dounin wrote:
>
> > либо обращений к OCSP-серверу нет
>
> обращения есть, я их вижу в query.log бинда, при старте энджинкса

В query.log бинда невозможно увидеть обращения к OCSP-серверу.
Максимум, что там можно увидеть - это резолвинг имени
OCSP-сервера. На старте, как я уже писал, делается резолвинг
имени с использованием системного резолвера. В процессе работы -
при обращениях к OCSP-серверу резолвинг его имени делается с
использованием DNS-сервера, заданного директивой resolver.

> > либо resolver таки defined
>
> вне зависимости от того, закомментирована ли строчка
> "resolver localhost;" в conf.d/ssl.conf или нет
>
>
> > либо логов нужного уровня нет, либо вы неправильно в них смотрите
>
> логи есть, смотрю их правильно

Давайте пойдём простым путём. Покажите вывод "nginx -V", "nginx -T"
и debug log с обращением к OCSP-серверу. Подробнее о том, как
получить debug log, тут:

http://nginx.org/en/docs/debugging_log.html

Отмечу на всякий случай, что обращение к OCSP-серверу в норме
происходит в момент первого SSL handshake'а с расширением
status_request, то есть при первом соединении через

openssl s_client -connect <ip>:443 -status | grep OCSP

и OCSP-ответа в этом соединении не будет. Если OCSP-ответ есть -
значит, соединение не первое, и соответственно обращение к
OCSP-серверу было раньше.

> Судя про тому, что при отсутствии resolver используется localhost а не
> IP OCSP, видимо есть какая-то умолчательная логика?

Нет.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru