uwsgi_ssl_crl

Описание

Директива 'uwsgi_ssl_crl' используется в контексте обработки SSL-соединений uWSGI в NGINX. Установив эту директиву, вы можете задать путь к файлу, содержащему список отозванных сертификатов, который используется для проверки сертификатов, представленных клиентами во время SSL-рукопожатий. Это важно для повышения безопасности, поскольку гарантирует, что сертификаты, которые больше не действительны или были отозваны, не принимаются сервером. CRL обрабатывается сервером NGINX для отклонения клиентов с отозванными сертификатами, тем самым поддерживая надёжную SSL-безопасность. Эту директиву можно указывать в контекстах `http`, `server` или `location` — она принимает единственный аргумент, представляющий путь к файлу CRL. Если указанный файл неверен или недоступен для чтения, NGINX зафиксирует ошибку и может некорректно обрабатывать соединения, связанные с отозванными сертификатами. Крайне важно, чтобы файл CRL поддерживался в актуальном состоянии и был доступен процессам сервера NGINX, чтобы избежать проблем с безопасностью. В целом использование директивы 'uwsgi_ssl_crl' обеспечивает дополнительный уровень защиты, контролируя, какие SSL-сертификаты считаются действительными — это критично для приложений, работающих с конфиденциальными данными или требующих высокого уровня доверия и соответствия.

Пример конфига

server {
    listen 443 ssl;
    server_name example.com;
    
    uwsgi_ssl_crl /etc/ssl/crl.pem;
    
    location / {
        uwsgi_pass unix:/tmp/uwsgi.sock;
        
        uwsgi_ssl_certificate /etc/ssl/certs/your_cert.pem;
        uwsgi_ssl_certificate_key /etc/ssl/private/your_key.pem;
    }
}