]> git.kaiwu.me - haproxy.git/commitdiff
MINOR: ocsp: Do not see ocsp loading failures as fatal anymore
authorRemi Tricot-Le Breton <rlebreton@haproxy.com>
Thu, 25 Jun 2026 13:39:18 +0000 (15:39 +0200)
committerWilliam Lallemand <wlallemand@haproxy.com>
Wed, 8 Jul 2026 12:50:25 +0000 (14:50 +0200)
Until now, if the call to 'ssl_sock_load_ocsp' raised an error, because
of a missing issuer certificate for instance, we would send a fatal
error code and the init would fail.
With this patch we only consider this as a non-critical error and we
will send a warning instead. In such a case the OCSP response will not
be loaded and stapling or auto update features will not work for the
certificate.

src/ssl_sock.c

index 7220f400a1fa58ad52db0c6571fa32e5913182f0..171857e2f923015389f8cd25d0f1994bfdefc03e 100644 (file)
@@ -3111,7 +3111,7 @@ static int ssl_sock_put_ckch_into_ctx(const char *path, struct ckch_store *store
                else
                        memprintf(err, "%s '%s' has an OCSP auto-update set to 'on' but an error occurred (maybe the OCSP URI or the issuer could not be found)'.\n",
                                  err && *err ? *err : "", path);
-               errcode |= ERR_ALERT | ERR_FATAL;
+               errcode |= ERR_WARN;
                goto end;
        }
 #endif