certbot
Илья Шипицин
chipitsine на gmail.com
Чт Июл 21 10:42:32 UTC 2022
чт, 21 июл. 2022 г. в 01:01, Maxim Dounin <mdounin на mdounin.ru>:
> Hello!
>
> On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:
>
> > Коллеги,
> >
> > (чуть запоздало)
> >
> > On Thu, 7 Jul 2022, Maxim Dounin wrote:
> >
> > [snip]
> >
> > > И нет, наличие проблемы "авторы считают возможным менять конфиги"
> > > в одном из вариантов использования - не означает, что в других
> > > вариантах использования проблем нет. Наличие такой проблемы
> > > означает, что авторы не понимают проблему, и что там ещё и где
> > > разложено или будет разложено в будущем - неизвестно. И лично я
> > > предпочитаю пользоваться тем, что работает, и рекомендовать его
> > > же.
> >
> > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех
> пор
> > скриптовать стало проще и, что ли, "повторяемее")
> >
> > https://blog.crashed.org/letsencrypt-in-freebsd-org/
>
> Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не
> могу: начиная от утверждений про "servers require a full restart
> to re-load the certificates if the filename is unchanged", что
> применительно к nginx'у совершенно точно неправда, и заканчивая
> утверждениями про "nginx is broken" в части ocsp-must-staple, что
> явно показывает непонимание разницы между OCSP Stapling и
> требованиями OCSP Must Staple.
>
не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть
вопросы.
на что мы налетали.
пишу я допустим "ssl_ocsp on"
включаю - все работает, все счастливы.
всем шампанское.
потом, случайным образом - не работает. потом опять работает.
смотрим под капот - при старте nginx идет обращение к OCSP и формируется
(или не формируется) staple.
не формируется в зависимости от миллиона причин. в нашем случае nginx
стартовал при недоступных днс серверах (это один из штатных режимов
запуска).
по логу - ок, пишем warning, и едем дальше с отключенным OCSP.
как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> _______________________________________________
> nginx-ru mailing list -- nginx-ru на nginx.org
> To unsubscribe send an email to nginx-ru-leave на nginx.org
>
----------- следующая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20220721/5a4e63d1/attachment.htm>
Подробная информация о списке рассылки nginx-ru