Skip to main content

OCSP stapling на nginx з сертыфікатам StartSSL



Пратакол OCSP дазваляе праверыць статус SSL сертыфіката Online. Пры адкрыцці сайта браўзэр спрабуе звязацца з OCSP серверам і атрымаць інфармацыю пра гэта сертыфікаце. Гэта ўплывае на хуткасць працы, так як OCSP сервер можа знаходзіцца нашмат далей, чым сервер, дзе размешчаны сайт.

OCSP stapling дазваляе вэб-серверу прымацоўваць OCSP-адказы ад сервера выдаўца сертыфіката. Што станоўча адбіваецца на хуткасці працы. Бо браўзэру ўжо не трэба падлучацца непасрэдна да сервера выдаўца.



Увогуле, для ўключэння степлинга на nginx спатрэбіцца каранёвай сертыфікат выдаўца. Актуальны каранёвай сертыфікат StartSSL яго можна спампаваць тут: startssl.com/root . Пры гэтым, неабходна спачатку аўтарызавацца ў асабістым кабінеце.

Але можна спампаваць і наўпрост:

  wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt 

Далей у конфіге сайта з сертыфікатам ад StartSSL (ці ў глабальным канфігурацыйным файле сервера, калі ўсе сайты маюць сертыфікат ад StartSSL) прапісваем параметр, які ўключае степлинг:


  ssl_stapling on; 

Затым параметр, які паказвае на каранёвай сертыфікат, які мы спампавалі раней:

  ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt; 

Ці нават можам паказаць шлях да карэннага сертыфікату, які пастаўляецца разам з пакетам openssl:

  ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem; 

І, самае галоўнае, - глыбіня праверкі ланцужкі сертыфікатаў. Па-змаўчанню гэты параметр роўны 1.


  ssl_verify_depth 3; 

У startssl мінімальная глыбіня - 3. Тут правяраецца каранёвай сертыфікат, прамежкавы сертыфікат StartCom Class 1 DV Server CA і, непасрэдна, сертыфікат вашага сайта. Без гэтага степлинг працаваць не будзе.

Таксама ў шматлікіх артыкулах рэкамендуецца паказваць параметр resolver для вызначэння IP сервераў OCSP. Але ў мяне зарабіла і без яго. Не забываем перазапусціць nginx пасля зменаў файлаў. ;)

Праверыць працу степлинга можна на сайтах: https://www.digicert.com/help/ і https://ssllabs.com .



Як вы ацэніце артыкул?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пакуль адзнак няма)
Загрузка ...

Дадаць каментар

Ваш e-mail не будзе апублікаваны.