Skip to main content

OCSP stapling на nginx з сертифікатом StartSSL



Протокол OCSP дозволяє перевірити статус SSL сертифікату Online. При відкритті сайту браузер намагається зв'язатися з OCSP сервером і отримати інформацію про це сертифікаті. Це впливає на швидкість роботи, так як OCSP сервер може знаходитися набагато далі, ніж сервер, де розташований сайт.

OCSP stapling дозволяє веб-сервера прикріплювати OCSP-відповіді від сервера видавця сертифіката. Що позитивно позначається на швидкості роботи. Адже браузеру вже не потрібно підключатися безпосередньо до сервера видавця.



Загалом, для включення степлінга на nginx знадобиться кореневий сертифікат видавця. Актуальний кореневий сертифікат StartSSL його можна завантажити тут: startssl.com/root . При цьому, необхідно спочатку авторизуватись в особистому кабінеті.

Але можна скачати і безпосередньо:

  wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt 

Далі в конфіги сайту з сертифікатом від StartSSL (або в глобальному файлі конфігурації сервера, якщо всі сайти мають сертифікат від StartSSL) прописуємо параметр, що включає степлінг:


  ssl_stapling on; 

Потім параметр, який вказує на кореневий сертифікат, який ми завантажили раніше:

  ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt; 

Або навіть можемо вказати шлях до кореневого сертифікату, який поставляється разом з пакетом openssl:

  ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem; 

І, найголовніше, - глибина перевірки ланцюжка сертифікатів. За замовчуванням цей параметр дорівнює 1.


  ssl_verify_depth 3; 

У startssl мінімальна глибина - 3. Тут перевіряється кореневий сертифікат, проміжний сертифікат StartCom Class 1 DV Server CA і, безпосередньо, сертифікат вашого сайту. Без цього степлінг працювати не буде.

Також у багатьох статтях рекомендується вказувати параметр resolver для визначення IP серверів OCSP. Але у мене запрацювало і без нього. Не забуваємо перезапустити nginx після змін файлів. ;)

Перевірити роботу степлінга можна на сайтах: https://www.digicert.com/help/ і https://ssllabs.com .



Як ви оціните статтю?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Поки оцінок немає)
Завантаження ...

Додати коментар

Ваш e-mail не буде опублікований.