Hello!
On Thu, Jul 21, 2022 at 04:12:37PM +0500, Илья Шипицин wrote:
> чт, 21 июл. 2022 г. в 16:04, Gena Makhomed <gmm@csdoc.com>:
>
> > On 21.07.2022 13:42, Илья Шипицин wrote:
> >
> > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
> >
> > Это подробно обсуждалось в 2018 году в этом списке рассылки:
> >
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447
> >
> > Наиболее интересные сообщения из этого треда:
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html
> >
> > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html
> >
> > Если кратко, то суть в том, что OCSP Must Staple включать не нужно.
> >
>
> .... что в зависимости от экспрессивности может быть кем-то сформулировано
> как "OCSP поломан в nginx"
> технология неоднозначная, соглашусь
Безотносительно неоднозначности технологии, повторю ещё раз то,
что написал:
"что явно показывает непонимание разницы между OCSP Stapling и
требованиями OCSP Must Staple"
OCSP Stapling - это технология, которую nginx поддерживает и
использование которой можно включить с помощью директивы
ssl_stapling. OCSP Must Staple - это _другая_ технология, которая
основывается на OCSP Stapling'е и предполагает дополнительные
требования к его работе. Реализация OCSP Stapling в nginx'е
далека от тех требований, которые предполагает OCSP Must Staple, и
поддержку OCSP Must Staple никто никогда не заявлял.
Формулировка же "поломан", вне зависимости от экспрессивности,
предполагает непонимание того, что OCSP Stapling и OCSP Must
Staple - это разные технологии.
--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org