Доброго времени суток.
Мы используем NGINX в качестве прокси к чужим серверам. Одно из требований - верификация сертификатов проксируемых серверов. В документации не указано, что именно проверяется директивой proxy_ssl_verify, однако я подозреваю, что проверяются:
- имя домен
- начальная и конечная даты действия сертификата
- trust chain
Правильно ли я понимаю?
Как при этом можно проверить, был ли сертификат отозван? Проверка при помощи proxy_ssl_crl не подходит, поскольку требуется отслеживать CRL Distribution Point всех встречаемых сертификатов (а их может быть огромное количество) и постоянно обновлять CRL файл. Есть ли возможность динамически проверить отзыв серверного сертификата, например, по OCSP?
Мы используем NGINX в качестве прокси к чужим серверам. Одно из требований - верификация сертификатов проксируемых серверов. В документации не указано, что именно проверяется директивой proxy_ssl_verify, однако я подозреваю, что проверяются:
- имя домен
- начальная и конечная даты действия сертификата
- trust chain
Правильно ли я понимаю?
Как при этом можно проверить, был ли сертификат отозван? Проверка при помощи proxy_ssl_crl не подходит, поскольку требуется отслеживать CRL Distribution Point всех встречаемых сертификатов (а их может быть огромное количество) и постоянно обновлять CRL файл. Есть ли возможность динамически проверить отзыв серверного сертификата, например, по OCSP?