OCSP-Stapling auf Apache aktivieren

Apache 2.3 und höher unterstützen OCSP-Stapling.

Um die OCSP-Antwort im Voraus zu aktivieren, muss der Webserver einen Zeiger auf den OCSP-Responder enthalten. Dies ist eine Empfehlung des CA/Browser Forums zu den grundlegenden Anforderungen, die alle von Xolphin gelieferten Zertifikate erfüllen.

Es ist sehr wahrscheinlich, dass Sie eine Firewall zwischen dem Webserver und dem Internet haben und es ist auch wahrscheinlich, dass die Firewall ausgehende Verbindungen von diesen Servern verbietet, sofern dies nicht ausdrücklich erlaubt ist. Bevor Sie also OCSP-Stapling einrichten, müss der Webserver mit dem OCSP-Responder kommunizieren können.

Es ist auch wichtig, dass der Webserver die OCSP-Responder erreicht, bei denen der Server den OCSP-Status abruft. Diese sind im Zertifikat aufgeführt und können folgendermaßen abgerufen werden:

Windows

Öffnen Sie das Zertifikat, indem Sie darauf doppelklicken und auf die Registerkarte Details gehen. Scrollen Sie zum Feld Authority Information Access oder Zugriff auf CA-Daten. Hier finden Sie eine OCSP – URI oder Online-Status des Zertifikats mit der Adresse des OCSP-Responders des CA. Beispiel: URL=http://ocsp.thawte.com

Linux

Lesen Sie das Zertifikat mit OpenSSL mit Befehl:
openssl x509 -in uwcertificaat.crt -text

Suchen Sie in der Ausgabe nach dem OCSP – URI:. Die hier genannte Adresse stammt vom OCSP-Reponer. Beispiel: URL=http://ocsp.thawte.com.

Testen Sie, ob Ihr Webserver diese Adresse mit dem genannten Protokoll erreichen kann. Ausgehend vom obigen Beispiel geschieht dies über einen Browser (Windows) oder den wget Befehl (Linux).

OCSP-Stapling aktivieren

Sobald Ihr Server die OCSP-Antworte abrufen kann, die das Stapling ermöglichen, gibt es nur zwei Zeilen, die hinzugefügt werden müssen.

Fügen Sie die folgende Zeile innerhalb des VirtualHosts hinzu, die auch das SSL-Zertifikat enthält: SSLUseStapling on

Fügen Sie der Konfiguration die folgende Zeile hinzu, dies darf nicht innerhalb des VirtualHost sein: SSLStaplingCache “shmcb:/var/log/stapling_cache(128000)”

SSLUseStapling aktiviert die Funktion, während SSLStaplingCache angibt, wo der Cache gespeichert werden soll und wie groß er sein soll.

Wenn Sie mit den neuesten stabilen Versionen von Apache und OpenSSL arbeiten, ist die Aktivierung dieser Funktion sicher. Sie wird nur verwendet, wenn der Client es unterstützt, sodass keine Kompatibilitätsprobleme auftreten. Wenn der Server aus irgendeinem Grund den Cache nicht mit einer gültigen OCSP-Antwort füllen kann, kehrt der Client normalerweise zu einer Echtzeit-OCSP-Anfrage zurück.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.