Hello! On Thu, Jul 21, 2022 at 04:12:37PM +0500, Илья Шипицин wrote:
> чт, 21 июл. 2022 г. в 16:04, Gena Makhomed <g...@csdoc.com>: > > > On 21.07.2022 13:42, Илья Шипицин wrote: > > > > > как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. > > > > Это подробно обсуждалось в 2018 году в этом списке рассылки: > > > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447 > > > > Наиболее интересные сообщения из этого треда: > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061496.html > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061506.html > > > > https://mailman.nginx.org/pipermail/nginx-ru/2018-September/061509.html > > > > Если кратко, то суть в том, что OCSP Must Staple включать не нужно. > > > > .... что в зависимости от экспрессивности может быть кем-то сформулировано > как "OCSP поломан в nginx" > технология неоднозначная, соглашусь Безотносительно неоднозначности технологии, повторю ещё раз то, что написал: "что явно показывает непонимание разницы между OCSP Stapling и требованиями OCSP Must Staple" OCSP Stapling - это технология, которую nginx поддерживает и использование которой можно включить с помощью директивы ssl_stapling. OCSP Must Staple - это _другая_ технология, которая основывается на OCSP Stapling'е и предполагает дополнительные требования к его работе. Реализация OCSP Stapling в nginx'е далека от тех требований, которые предполагает OCSP Must Staple, и поддержку OCSP Must Staple никто никогда не заявлял. Формулировка же "поломан", вне зависимости от экспрессивности, предполагает непонимание того, что OCSP Stapling и OCSP Must Staple - это разные технологии. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
