Passer au contenu principal

Agrafage OCSP sur nginx avec certificat StartSSL



Le protocole OCSP vous permet de vérifier l'état du certificat SSL en ligne. Lors de l'ouverture d'un site, le navigateur essaie de contacter le serveur OCSP et d'obtenir des informations sur ce certificat. Cela affecte la vitesse de fonctionnement, car le serveur OCSP peut être beaucoup plus étendu que le serveur sur lequel se trouve le site.

L'agrafage OCSP permet au serveur Web d'attacher des réponses OCSP à partir du serveur émetteur du certificat. Cela a un effet positif sur la vitesse de travail. Après tout, le navigateur n'a plus besoin de se connecter directement au serveur d'éditeur.



En général, pour activer le transfert sur nginx, vous avez besoin d'un certificat racine d'éditeur. Le certificat racine StartSSL actuel peut être téléchargé ici: startssl.com/root . Dans ce cas, vous devez d'abord vous connecter à votre compte.

Mais vous pouvez télécharger directement:

  wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt 

Ensuite, dans la configuration du site avec un certificat de StartSSL (ou dans le fichier de configuration globale du serveur, si tous les sites ont un certificat de StartSSL), nous écrivons un paramètre qui inclut le pas à pas:


  ssl_stapling on; 

Ensuite, le paramètre indiquant le certificat racine que nous avons téléchargé précédemment:

  ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt; 

Ou nous pouvons même spécifier le chemin d'accès au certificat racine fourni avec le paquet openssl:

  ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem; 

Et, plus important encore, l’ampleur de la vérification de la chaîne de certificats. Par défaut, ce paramètre est 1.


  ssl_verify_depth 3; 

Le startssl a une profondeur minimale de 3. Cela vérifie le certificat racine, le certificat intermédiaire de l’autorité de certification StartCom Classe 1 DV Server et, directement, le certificat de votre site. Sans cela, la marche à suivre ne fonctionnera pas.

De même, dans de nombreux articles, il est recommandé de spécifier le paramètre resolver afin de déterminer l'adresse IP des serveurs OCSP. Mais ça a fonctionné pour moi sans ça. N'oubliez pas de redémarrer nginx après les modifications de fichiers. ;)

Vous pouvez vérifier le fonctionnement de l'agrafage sur les sites Web: https://www.digicert.com/help/ et https://ssllabs.com .



Comment évaluez-vous l'article?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Pas encore de notes)
Chargement ...

Ajouter un commentaire

Votre email ne sera pas publié.