proxy_ssl_crl
Директива `proxy_ssl_crl` указывает файл списка отозванных сертификатов (CRL) для проверки сертификатов в SSL-прокси-соединениях. — NGINX HTTP Core
Описание
Директива `proxy_ssl_crl` используется в конфигурации NGINX для указания файла, содержащего список отозванных сертификатов (CRL). Этот CRL критически важен для установления защищённых прокси-соединений, особенно при работе с SSL/TLS сертификатами. Он позволяет NGINX проверять действительность SSL-сертификата сервера по отношению к списку отозванных сертификатов, повышая безопасность за счёт предотвращения использования скомпрометированных сертификатов. Директива принимает один аргумент, которым должен быть путь к файлу CRL в формате PEM. Эту директиву можно задать в любом из контекстов `http`, `server` или `location`, что делает её достаточно гибкой для разных уровней архитектуры приложения. Процесс проверки SSL-сертификата происходит каждый раз, когда NGINX устанавливает SSL-соединение с проксируемым сервером. Если сертификат сервера найден в CRL, соединение будет прервано с ошибкой, тем самым нейтрализуя потенциальные риски безопасности, связанные с использованием отозванного сертификата.
Пример конфига
location /api {
proxy_pass https://backend;
proxy_ssl_crl /etc/nginx/crl.pem;
}Убедитесь, что файл CRL регулярно обновляется, чтобы избежать использования устаревших данных об отзыве.
Путь к файлу должен быть абсолютным; относительные пути могут вызывать ошибки.
Убедитесь, что файл CRL соответствует формату PEM.