OCSP-Stapling auf Nginx aktivieren

OCSP Stapling ist mit Nginx ab Version 1.3.7 möglich.

Damit OCSP-Stapling ordnungsgemäß funktionieren, muss Nginx über ein korrekt installiertes Zertifikat und eine Datei mit den zugehörigen Stamm- und Zwischenzertifikaten verfügen. Stellen Sie daher sicher, dass das Zertifikat korrekt installiert ist. Dies kann mit dem SSLCheck überprüft werden.

Es ist auch wichtig, dass der Webserver die OCSP-Responder erreicht, bei denen der Server den OCSP-Status abruft. Diese sind im Zertifikat aufgeführt und können auf folgende Weise abgerufen werden:

Windows

Öffnen Sie das Zertifikat, indem Sie darauf doppelklicken und auf die Registerkarte Details gehen. Scrollen Sie zum Feld Authority Information Access oder Zugriff auf CA-Daten. Hier finden Sie eine OCSP – URI oder Online-Status des Zertifikats mit der Adresse des OCSP-Responders des CA. Beispiel: URL=http://ocsp.thawte.com

Linux

Lesen Sie das Zertifikat mit OpenSSL mit Befehl:
openssl x509 -in uwcertificaat.crt -text

Suchen Sie in der Ausgabe nach dem OCSP – URI:. Die hier genannte Adresse stammt vom OCSP-Reponer. Beispiel: URL=http://ocsp.thawte.com.

Testen Sie, ob Ihr Webserver diese Adresse mit dem genannten Protokoll erreichen kann. Ausgehend vom obigen Beispiel geschieht dies über einen Browser (Windows) oder den wget Befehl (Linux).

Konfiguration

Wenn Sie sich über die korrekte Funktionsweise der Zertifikatskette und die Erreichbarkeit des OCSP-Responders im Klaren sind, erstellen Sie eine Datei mit den entsprechenden Zwischen- und Stammzertifikaten und fügen Sie die folgenden Zeilen zur Nginx-Konfiguration hinzu, um OCSP-Stapling zu ermöglichen.

OCSP-Stapling aktivieren:
ssl_stapling on;

Aktivieren Sie die Überprüfung der OCSP-Antwort:
ssl_stapling_verify on;

Geben Sie den genauen Speicherort der Datei mit den Zwischen- und Stammzertifikaten an:
ssl_trusted_certificate /path/to/cert_chain.pem

Geben Sie ggf. einen DNS-Server an. Im folgenden Beispiel verwenden wir die öffentlichen Google DNS-Server:
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.