Сегодня в статье разберём как включить OCSP на web-сервере Nginx с сертификатами от Let`s Encrypt.
Но сперва что же такое OCSP?
OCSP (Online Certificate Status Protocol) — это интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.
Как узнать, является ли сертификат доверенным? Сделать это можно единственным способом – спросить об этом у самого поставщика, т.е. у удостоверяющего центра, который хранит всю информацию, связанную с выпущенным сертификатом.
Метод OCSP Stapling помогает быстро и безопасно установить достоверность SSL-сертификата.
Извлекаем промежуточный сертификат Let’s Encrypt
Коннектимся под root:
sudo su
Скачиваем промежуточные сертификаты ЦА
cd /etc/ssl/private && wget -O - https://letsencrypt.org/certs/isrgrootx1.pem https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem https://letsencrypt.org/certs/letsencryptauthorityx1.pem https://www.identrust.com/certificates/trustid/root-download-x3.html | tee -a ca-certs.pem> /dev/null
Настройка OCSP stapling на Nginx с админ-панелью VestaCP
Отредактируйте файл виртуального хоста:
sudo nano /home/admin/conf/web/example.com.nginx.ssl.conf
и внесите в раздел server {}
следующий блок кода:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;
Перезагружаем nginx:
sudo /etc/init.d/nginx restart
Тестируем OCSP на Ubuntu Server
echo QUIT | openssl s_client -connect obu4alka.ru:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
Данная команда выдаст следующий результат:
OCSP response:
================================================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Produced At: Sep 14 01:40:00 2019 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
Serial Number: 03E2EA3D34CED68F180CD2179ABB275275C5
Cert Status: good
This Update: Sep 14 01:00:00 2019 GMT
Next Update: Sep 21 01:00:00 2019 GMT
Онлайн-тест Qualys
Чтобы проверить работу OCSP stapling онлайн, перейдите на этот сайт. Когда тестирование будет завершено, найдите строку OCSP stapling в разделе Protocol Details.
Тестирование ALPN
testsite="obu4alka.ru"; echo | openssl s_client -alpn h2 -connect $testsite:443 -servername $testsite 2>&1 | grep -q "ALPN protocol: h2" && echo "ALPN поддерживается" || echo "ALPN не поддерживается"
либо так:
echo | openssl s_client -alpn h2 -connect obu4alka.ru:443 | grep ALPN
Можете также воспользоваться ещё одним способом проверки, вот ссылка
[endtxt]