ssl_crl

Описание

Директива `ssl_crl` используется в NGINX при настройке SSL/TLS для указания файла, содержащего список отозванных сертификатов. Эта функция жизненно важна для поддержания защищённой связи, поскольку позволяет серверу проверить, был ли SSL-сертификат клиента отозван перед установлением соединения. Директива может быть размещена в блоке `http` или `server` в конфигурации NGINX, гарантируя, что указанный CRL будет использоваться в процессе SSL-рукопожатия. Когда клиент предоставляет свой сертификат, NGINX проверяет этот список наряду с другими политиками валидации сертификатов. Файл CRL, указанный в `ssl_crl`, должен иметь корректный формат и быть доступным для NGINX. Эта директива помогает избегать принятия сертификатов, которые больше не действительны, тем самым повышая общую безопасность приложения, блокируя потенциальных злоумышленников, которые могут использовать скомпрометированные учётные данные. Если файл CRL не найден или недоступен для чтения, это может привести к ошибкам во время SSL-рукопожатия, влияющим на пользователей, пытающихся получить доступ к сервису. Важно, что директива `ssl_crl` принимает только один аргумент — путь к файлу CRL. Рекомендуется поддерживать список в актуальном состоянии и активно мониторить статус сертификатов, чтобы обеспечить более безопасную среду для конечных пользователей. Использование CRL имеет и недостатки; например, они могут не обеспечивать обновления в реальном времени, если не выполняются вручную или не настроено частое обновление.

Пример конфига

http {
    server {
        ssl on;
        ssl_certificate /etc/ssl/certs/server.crt;
        ssl_certificate_key /etc/ssl/private/server.key;
        ssl_crl /etc/ssl/crl/ca.crl;
    }
}