OCSP stapling in Nginx >=1.3.7 (no replies)

Здравствуйте, All!

Если с помощью Let's Encrypt сделать SSL-сертификат
для домена,например, example.com то в файле
/etc/letsencrypt/live/example.com/README
будет такая информация:

`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.

Чтобы nginx использовал файл chain.pem для OCSP stapling
необходимо прописать в конфиге

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;

я правильно понимаю?

Смущает тот факт, что если закомментировать
в конфиге директиву ssl_trusted_certificate
- никаких предупреждений не выводится во время
тестирования конфигурации и никаких сообщений
не пишется в лог во время systemctl reload nginx

Насколько я понимаю, ssl_stapling_verify on
следует включать всегда, потому что общение
с OCSP сервером происходит по протоколу HTTP?
По крайней мере, в самом сертификате написано:
OCSP: URI: http://ocsp.int-x3.letsencrypt.org

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru