чт, 21 июл. 2022 г. в 01:01, Maxim Dounin <mdou...@mdounin.ru>:
> Hello! > > On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote: > > > Коллеги, > > > > (чуть запоздало) > > > > On Thu, 7 Jul 2022, Maxim Dounin wrote: > > > > [snip] > > > > > И нет, наличие проблемы "авторы считают возможным менять конфиги" > > > в одном из вариантов использования - не означает, что в других > > > вариантах использования проблем нет. Наличие такой проблемы > > > означает, что авторы не понимают проблему, и что там ещё и где > > > разложено или будет разложено в будущем - неизвестно. И лично я > > > предпочитаю пользоваться тем, что работает, и рекомендовать его > > > же. > > > > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех > пор > > скриптовать стало проще и, что ли, "повторяемее") > > > > https://blog.crashed.org/letsencrypt-in-freebsd-org/ > > Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не > могу: начиная от утверждений про "servers require a full restart > to re-load the certificates if the filename is unchanged", что > применительно к nginx'у совершенно точно неправда, и заканчивая > утверждениями про "nginx is broken" в части ocsp-must-staple, что > явно показывает непонимание разницы между OCSP Stapling и > требованиями OCSP Must Staple. > не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть вопросы. на что мы налетали. пишу я допустим "ssl_ocsp on" включаю - все работает, все счастливы. всем шампанское. потом, случайным образом - не работает. потом опять работает. смотрим под капот - при старте nginx идет обращение к OCSP и формируется (или не формируется) staple. не формируется в зависимости от миллиона причин. в нашем случае nginx стартовал при недоступных днс серверах (это один из штатных режимов запуска). по логу - ок, пишем warning, и едем дальше с отключенным OCSP. как-то в подобной ситуации включать MUST Staple - ну такое. страшновато. > > -- > Maxim Dounin > http://mdounin.ru/ > _______________________________________________ > nginx-ru mailing list -- nginx-ru@nginx.org > To unsubscribe send an email to nginx-ru-le...@nginx.org >
_______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org
