OCSP — протокол для проверки действительности сертификатов, то есть чтобы убедиться, что они не были отменены и действительно ли они были выданы. Включение OCSP Stapling на стороне веб сервера позволяет увеличить скорость открытия сайта, так как запрос в удостоверяющий центр делает не браузер, а веб сервер.
Для включения OCSP Stapling в Nginx необходимо в блоке server { } указать следующие директивы (последнюю строку можно не указывать):
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.4.4;
Проверим конфигурацию и перезапустим Nginx:
nginx -t
systemctl restart nginx
Для включения OCSP Stapling в Apache2 необходимо добавить в блок VirtualHost нужного сайта:
SSLUseStapling on
А также под блоком VirtualHost указать:
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
Проверим конфигурацию и применим ее:
apachectl -t
service apache2 reload
Если используется cPanel, то в меню WHM — Apache Include Editor можно включить OCSP Stapling или вручную в конфигурации /usr/local/apache/conf/include/pre_virtualhost_global.conf, но в этом случае после обновления cPanel изменения сбросятся.
OCSP Stapling включен по умолчанию начиная с версии Windows Server 2008.
Приведу пример проверки из Linux:
openssl s_client -connect ixnfo.com:443 -tls1 -status -tlsextdebug
echo QUIT | openssl s_client -connect ixnfo.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
Проверить также можно на сторонних ресурсах, например тут https://www.ssllabs.com/ssltest/