ssl_stapling_responder
Директива 'ssl_stapling_responder' настраивает URL для получения ответов OCSP (Online Certificate Status Protocol) в процессе stapling. — NGINX HTTP Core
Описание
Директива 'ssl_stapling_responder' в NGINX используется для указания URL, с которого можно получить ответы OCSP. Эта директива необходима для оптимизации процессов проверки сертификатов SSL/TLS, позволяя клиентам проверять статус отзыва сертификатов упрощённым образом. Задав URL ответчика, NGINX обеспечивает эффективное получение ответов OCSP, что улучшает производительность защищённых соединений за счёт сокращения времени, которое клиенты тратят на получение статуса своих сертификатов через множественные запросы к Certificate Authorities (CAs). На практике URL, заданный этой директивой, должен быть действительной конечной точкой OCSP сервера. Как правило, это HTTPS URL, поскольку ответы OCSP часто содержат конфиденциальную информацию о статусе действительности сертификата. Конфигурация 'ssl_stapling_responder' должна находиться в блоке 'http' или 'server', и её корректная настройка может значительно улучшить производительность SSL, особенно в средах с высоким трафиком. Также необходимо убедиться, что OCSP responder работает корректно и доступен, чтобы избежать прерываний сервиса или увеличения задержки соединений.
Пример конфига
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_stapling on;
ssl_stapling_responder https://ocsp.example.com;
}Убедитесь, что указанный URL доступен и правильно настроен как OCSP-сервер.
Использование non-HTTPS URLs может привести к раскрытию конфиденциальных данных при получении ответа OCSP.
Неправильно настроенные OCSP-респондеры могут привести к сбоям в TLS-рукопожатиях.