чт, 21 июл. 2022 г. в 15:42, Илья Шипицин <chipits...@gmail.com>:
> > > чт, 21 июл. 2022 г. в 01:01, Maxim Dounin <mdou...@mdounin.ru>: > >> Hello! >> >> On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote: >> >> > Коллеги, >> > >> > (чуть запоздало) >> > >> > On Thu, 7 Jul 2022, Maxim Dounin wrote: >> > >> > [snip] >> > >> > > И нет, наличие проблемы "авторы считают возможным менять конфиги" >> > > в одном из вариантов использования - не означает, что в других >> > > вариантах использования проблем нет. Наличие такой проблемы >> > > означает, что авторы не понимают проблему, и что там ещё и где >> > > разложено или будет разложено в будущем - неизвестно. И лично я >> > > предпочитаю пользоваться тем, что работает, и рекомендовать его >> > > же. >> > >> > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с >> тех пор >> > скриптовать стало проще и, что ли, "повторяемее") >> > >> > https://blog.crashed.org/letsencrypt-in-freebsd-org/ >> >> Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не >> могу: начиная от утверждений про "servers require a full restart >> to re-load the certificates if the filename is unchanged", что >> применительно к nginx'у совершенно точно неправда, и заканчивая >> утверждениями про "nginx is broken" в части ocsp-must-staple, что >> явно показывает непонимание разницы между OCSP Stapling и >> требованиями OCSP Must Staple. >> > > не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть > вопросы. > > на что мы налетали. > пишу я допустим "ssl_ocsp on" > тут наврал, мы писали "ssl_stapling on;" > > включаю - все работает, все счастливы. > всем шампанское. > > > потом, случайным образом - не работает. потом опять работает. > > смотрим под капот - при старте nginx идет обращение к OCSP и формируется > (или не формируется) staple. > не формируется в зависимости от миллиона причин. в нашем случае nginx > стартовал при недоступных днс серверах (это один из штатных режимов > запуска). > > по логу - ок, пишем warning, и едем дальше с отключенным OCSP. > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. > >> >> -- >> Maxim Dounin >> http://mdounin.ru/ >> _______________________________________________ >> nginx-ru mailing list -- nginx-ru@nginx.org >> To unsubscribe send an email to nginx-ru-le...@nginx.org >> >
_______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org