Настройка OCSP Stapling | ALPN + Nginx на Ubuntu Server

Сегодня в статье разберём как включить OCSP на web-сервере Nginx с сертификатами от Let`s Encrypt.

Но сперва что же такое OCSP?

OCSP (Online Certificate Status Protocol) — это интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.

Как узнать, является ли сертификат доверенным? Сделать это можно единственным способом – спросить об этом у самого поставщика, т.е. у удостоверяющего центра, который хранит всю информацию, связанную с выпущенным сертификатом.

Метод OCSP Stapling помогает быстро и безопасно установить достоверность SSL-сертификата.

Извлекаем промежуточный сертификат Let’s Encrypt

Коннектимся под root:

sudo su

Скачиваем промежуточные сертификаты ЦА

cd /etc/ssl/private && wget -O - https://letsencrypt.org/certs/isrgrootx1.pem https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem https://letsencrypt.org/certs/letsencryptauthorityx1.pem https://www.identrust.com/certificates/trustid/root-download-x3.html | tee -a ca-certs.pem> /dev/null

Настройка OCSP stapling на Nginx с админ-панелью VestaCP

Отредактируйте файл виртуального хоста:

sudo nano /home/admin/conf/web/example.com.nginx.ssl.conf

и внесите в раздел server {} следующий блок кода:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;

Перезагружаем nginx:

sudo /etc/init.d/nginx restart

Тестируем OCSP на Ubuntu Server

echo QUIT | openssl s_client -connect obu4alka.ru:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

Данная команда выдаст следующий результат:

OCSP response:
================================================================ 
 OCSP Response Data:
     OCSP Response Status: successful (0x0)
     Response Type: Basic OCSP Response
     Version: 1 (0x0)
     Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
     Produced At: Sep 14 01:40:00 2019 GMT
     Responses:
     Certificate ID:
       Hash Algorithm: sha1
       Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
       Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
       Serial Number: 03E2EA3D34CED68F180CD2179ABB275275C5
     Cert Status: good
     This Update: Sep 14 01:00:00 2019 GMT
     Next Update: Sep 21 01:00:00 2019 GMT

Онлайн-тест Qualys

Чтобы проверить работу OCSP stapling онлайн, перейдите на этот сайт. Когда тестирование будет завершено, найдите строку OCSP stapling в разделе Protocol Details.

Тестирование ALPN

testsite="obu4alka.ru"; echo | openssl s_client -alpn h2 -connect $testsite:443 -servername $testsite 2>&1 | grep -q "ALPN protocol: h2" && echo "ALPN поддерживается" || echo "ALPN не поддерживается"

либо так:

echo | openssl s_client -alpn h2 -connect obu4alka.ru:443 | grep ALPN

Можете также воспользоваться ещё одним способом проверки, вот ссылка

[endtxt]

RSS