Настройка OCSP Stapling | ALPN + Nginx на Ubuntu Server

Сегодня в статье разберём как включить OCSP на web-сервере Nginx с сертификатами от Let`s Encrypt.






Но сперва что же такое OCSP?




OCSP (Online Certificate Status Protocol) – это интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.




Как узнать, является ли сертификат доверенным? Сделать это можно единственным способом – спросить об этом у самого поставщика, т.е. у удостоверяющего центра, который хранит всю информацию, связанную с выпущенным сертификатом.




Метод OCSP Stapling помогает быстро и безопасно установить достоверность SSL-сертификата.




Извлекаем промежуточный сертификат Let’s Encrypt




Коннектимся под root:




sudo su




Скачиваем промежуточные сертификаты ЦА




cd /etc/ssl/private && wget -O - https://letsencrypt.org/certs/isrgrootx1.pem https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem https://letsencrypt.org/certs/letsencryptauthorityx1.pem https://www.identrust.com/certificates/trustid/root-download-x3.html | tee -a ca-certs.pem> /dev/null




Настройка OCSP stapling на Nginx с админ-панелью VestaCP




Отредактируйте файл виртуального хоста:




sudo nano /home/admin/conf/web/example.com.nginx.ssl.conf




и внесите в раздел server {} следующий блок кода:




ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;




Перезагружаем nginx:




sudo /etc/init.d/nginx restart




Тестируем OCSP на Ubuntu Server




echo QUIT | openssl s_client -connect obu4alka.ru:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'




Данная команда выдаст следующий результат:




OCSP response:
================================================================ 
 OCSP Response Data:
     OCSP Response Status: successful (0x0)
     Response Type: Basic OCSP Response
     Version: 1 (0x0)
     Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
     Produced At: Sep 14 01:40:00 2019 GMT
     Responses:
     Certificate ID:
       Hash Algorithm: sha1
       Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
       Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
       Serial Number: 03E2EA3D34CED68F180CD2179ABB275275C5
     Cert Status: good
     This Update: Sep 14 01:00:00 2019 GMT
     Next Update: Sep 21 01:00:00 2019 GMT




Онлайн-тест Qualys




Чтобы проверить работу OCSP stapling онлайн, перейдите на этот сайт. Когда тестирование будет завершено, найдите строку OCSP stapling в разделе Protocol Details.




Тестирование ALPN




testsite="obu4alka.ru"; echo | openssl s_client -alpn h2 -connect $testsite:443 -servername $testsite 2>&1 | grep -q "ALPN protocol: h2" && echo "ALPN поддерживается" || echo "ALPN не поддерживается"




либо так:




echo | openssl s_client -alpn h2 -connect obu4alka.ru:443 | grep ALPN




Можете также воспользоваться ещё одним способом проверки, вот ссылка



[endtxt]




RSS



Добавление RSS-ленты на главную страницу этого сайта не поддерживается, так как это может привести к зацикливанию, замедляющему работу вашего сайта. Попробуйте использовать другой блок, например блок Последние записи, для отображения записей сайта.


2019-04-14T08:00:52
Nginx