Настройка OCSP Stapling

OCSP — протокол для проверки действительности сертификатов, то есть чтобы убедиться, что они не были отменены и действительно ли они были выданы. Включение OCSP Stapling на стороне веб сервера позволяет увеличить скорость открытия сайта, так как запрос в удостоверяющий центр делает не браузер, а веб сервер.

Для включения OCSP Stapling в Nginx необходимо в блоке server { } указать следующие директивы (последнюю строку можно не указывать):

ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.4.4;

Проверим конфигурацию и перезапустим Nginx:

nginx -t
systemctl restart nginx

Для включения OCSP Stapling в Apache2 необходимо добавить в блок VirtualHost нужного сайта:

SSLUseStapling on

А также под блоком VirtualHost указать:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Проверим конфигурацию и применим ее:

apachectl -t
service apache2 reload

Если используется cPanel, то в меню WHM — Apache Include Editor можно включить OCSP Stapling или вручную в конфигурации /usr/local/apache/conf/include/pre_virtualhost_global.conf, но в этом случае после обновления cPanel изменения сбросятся.

OCSP Stapling включен по умолчанию начиная с версии Windows Server 2008.

Приведу пример проверки из Linux:

openssl s_client -connect ixnfo.com:443 -tls1 -status -tlsextdebug

echo QUIT | openssl s_client -connect ixnfo.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

Проверить также можно на сторонних ресурсах, например тут https://www.ssllabs.com/ssltest/

Оставьте комментарий

Добавить комментарий