ssl_stapling
Директива ssl_stapling включает или отключает OCSP (протокол онлайн-проверки статуса сертификата) stapling в NGINX. — NGINX HTTP Core
Описание
Директива `ssl_stapling` в NGINX используется для управления использованием OCSP stapling — механизма, который позволяет серверу напрямую предоставлять клиентам помеченный временем ответ OCSP. Это устраняет необходимость для клиентов подключаться к OCSP responder для проверки статуса сертификата, что улучшает время отклика и повышает конфиденциальность. Директива принимает булев флаг в качестве аргумента, то есть её можно установить в 'on' для включения OCSP stapling или в 'off' для отключения. Когда функция включена, во время SSL handshake NGINX получает и кэширует последний ответ OCSP от центра сертификации при представлении сертификата. Если кэшированный ответ действителен, сервер включит этот ответ в сообщения SSL handshake, отправляемые клиенту. В противном случае сервер выполнит запрос к OCSP responder для получения свежего ответа. Поэтому крайне важно тщательно управлять политикой кэширования сервера и следить за тем, чтобы ответы OCSP не устаревали. Кроме того, реализация OCSP stapling зависит от наличия действительного SSL-сертификата, который это поддерживает, и обычно требует настройки соответствующих resolver-параметров для разрешения DNS для OCSP-серверов.
Пример конфига
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
ssl_stapling on;
ssl_stapling_verify on;
}Убедитесь, что ваш SSL-сертификат поддерживает OCSP stapling; в противном случае включение этой директивы может привести к ошибкам при установлении соединения.
Если разрешение DNS для OCSP responder не удаётся, клиенты могут столкнуться с ошибками SSL, несмотря на наличие действительного сертификата.
Необходимо контролировать кэширование; недействительный OCSP response может привести к тому, что клиенты не смогут подключиться.