Когда нужно использовать ssl_trusted_certificate при настройке OCSP stapling в nginx?

Question

[Sergey]

Здравствуйте.
У меня цепочка сертификатов имеет следующую структуру (бесплатный сертификат от startssl.com):
root -> intermediate -> <выданный сертификат>
Директива ssl_certificate указывает на файл, который содержит выданный сертификат + промежуточный.

Нужно ли что-то дополнительно указывать в ssl_trusted_certificate, чтобы заработал OCSP stapling?

Answer 1

[Erelecano Oioraen]

> бесплатный сертификат от startssl.com

Это те мошенники которых выкинули из доверенных в Firefox и которых блокирует Google Chrome? Хороший сертификат, годный.

>Нужно ли что-то дополнительно указывать в ssl_trusted_certificate, чтобы заработал OCSP stapling?

Да, нужно, там должен быть ssl_trusted_certificate, без него не будет OCSP.

Прекратите насиловать труп мошенников из startssl, откройте для себя прекрасный мир сертификатов LetsEncrypt и заживете счастливо.

Comments

[Sergey]

Мне повезло, что я решил написать, кто выдал сертификат. Спасибо за наводку!
Конечно, какой вопрос, такой и ответ. Но можно уточнить, почему всю необходимую информацию nginx не может взять из цепочки сертификатов, которая лежит в файле, на который указывает ssl_certificate? Я так понимаю, у сертификата есть расширение Authority Information Access, которое содержит адрес сервера, по которому можно проверить, отозван сертификат или нет. Правда, в ssl_certificate, как минимум, нет корневого сертификата, чтобы его закешировать и прикреплять, кажется, что его точно придётся положить в ss_trusted_certificate. А вот про промежуточные мне не очень понятно.

[Erelecano Oioraen]

Sergey: ну как-то так. Я могу говорить о практике, что для работы OCSP нужна ssl_trusted_certificate
У меня в конфигах это выглядит так:
ssl_certificate /var/lib/acme/live/lindon.pw/fullchain;
ssl_certificate_key /var/lib/acme/live/lindon.pw/privkey;
ssl_trusted_certificate /var/lib/acme/live/lindon.pw/chain;

Домен из примера конфига специально не затираю, что бы могли посмотреть на https://www.ssllabs.com/ssltest/analyze.html?d=lin... как выглядит оно при проверке :)

[Sergey]

Erelecano Oioraen: Спасибо, попробую в рассылке nginx ещё задать вопрос. Попытка не пытка. (: