Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Нет, дело было не в этом.
Вот тут: habrahabr.ru/post/254231/#comment_8351591 ответили в чем дело.
Nginx асинхронно отправляет ocsp-запрос, по этому первые коннекты идут без ocsp-response.
Сейчас уже все работает как нужно.

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

да

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Продолжаем разговор. (ц) Карлсон.

Хоть скучное решение и работало вчера, но…
Обновился до 1.7.11. Теперь openssl s_client показывает
ocsp-response, но вот ssllabs все равно говорит NO.
При этом openssl показывает ocsp-response только
со второго(после рестарта) коннекта, но это, как я
понимаю изза очень медленных китайцев.
Тем не менее, не понимаю почему ssllabs его не видит…

Кстати, а globalsign говорит YES…

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Обновил до 1.6.2 — результат тот же.
А тут рабочее решение: habrahabr.ru/post/254231/#comment_8350543

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Спасибо огромное!
Первый(скучный) вариант работает на ура.
Патчить nginx не стал.

Кой что добавлю:

listen 127.0.0.1:9000;
access_log off;

Первое — чтобы порт наружу не светился, второе — чтобы не мусорило в логи.

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

nginx/1.4.6 (Ubuntu)

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Прежде всего, спасибо за статью!
Однако, не работает.
По вашей ссылке, где проверка вашего блога на ssllabs:

OCSP stapling No

Я попробовал у себя ваш способ. Результат такой же.
При обращении к серверу в error.log nginx пишет следующее:

OCSP responder prematurely closed connection while requesting certificate status, responder: ocsp6.wosign.com

Я еще пробовал в ручную запрашивать ocsp-ответ от китайцев и подсовывать в nginx ocsp-файл примерно так:
ssl_stapling_file /opt/cert/example.com.ocsp;
Вот в таком случае ssllabs говорит YES, но вот Firefox отказывается ходить на такой сайт со словами «в ocsp-ответе нет информации о запрашиваемом сертификате».
Еще я пробовал в ручную заставить nginx ходить за ocsp-запросами по урлу:

ssl_stapling_responder ocsp6.wosign.com/ca6/server1/free;

Этот урл я взял, из сертификата.
В таком случае он ругается в логах так:

OCSP responder sent invalid «Content-Type» header: «text/html» while requesting certificate status, responder: ocsp6.wosign.com
OCSP responder prematurely closed connection while requesting certificate status, responder: ocsp6.wosign.com

Ну и соответственно, результат отрицательный.

У кого еще есть идеи? Может быть у кого получилось сделать правильный ocsp-файл?

P.S.: Кстати, wosign отсылает промежуточные сертификаты вместе с запрошенным в одном zip файле, так что качать их со startssl не обязательно.

Человек, не позволяй унижать себя!

Прочитал факты. Тихий ужас.

Человек, не позволяй унижать себя!

Это называется «взаимоисключающие параграфы».

Человек, не позволяй унижать себя!

Спасибо за ссылку, весьма занятно, добавил в избраное.

Человек, не позволяй унижать себя!

У них же табличка «Магазин за вещи, оставленные в камере хранения, отвественности не несет». И опять брехня, веть несет же!

Человек, не позволяй унижать себя!

И тем более рюкзачок с зарплатой выданной с задержкой за 3 месяца =)

Человек, не позволяй унижать себя!

Если поискать в Яндексе по словам«мвидео+охрана|охранник», окажется, что таких магазинов гораздо больше.

Человек, не позволяй унижать себя!

Двух магазинах. Обращались, в горячей линии отфутболили к местному менеджеру. Местный менеджер обещал применять меры. Как он их применяет — хорошо видно в статье.