Apache - OCSP stapling inschakelen

Apache 2.3 en hoger ondersteunen OCSP stapling

Om het vooraf halen van de OCSP response in werking te zetten moet de webserver een pointer naar de OCSP responder bevatten. Dit is een aanbeveling van de CA/Browser Forum betreffende basisvereisten, alle certificaten die Xolphin levert voldoen hieraan.

De kans is groot dat je een firewall tussen de webserver(s) en het internet hebt staan en het is ook aannemelijk dat de firewall uitgaande verbindingen vanaf deze servers verbiedt, tenzij uitdrukkelijk toegestaan​​. Dus voordat je OCSP stapling instelt moet(en) de webserver(s) kunnen communiceren met de OCSP responder.

Verder is het van belang dat de webserver de OCSP responders kan bereiken waarbij de server de OCSP status ophaalt. Deze staan vermeld in het certificaat en dit achterhaal je op volgende manier:

Windows

Open het certificaat door hier op te dubbelklikken en ga naar het tabblad Details. Scroll naar het veld Authority Information Access of Toegang tot CA-gegevens. Hier vind je een OCSP – URI of Onlinestatus van het certificaat met hierbij het adres van de OCSP responder van de CA. Bijvoorbeeld URL=http://ocsp.thawte.com

Linux

Lees het certificaat uit met OpenSSL met commando:
openssl x509 -in uwcertificaat.crt -text

Zoek in de output de OCSP – URI:. Het hierbij vermelde adres is van de OCSP reponder. Bijvoorbeeld URL=http://ocsp.thawte.com.

Test of je webserver dit adres kan bereiken met het genoemde protocol. Uitgaande van bovenstaand voorbeeld gebeurt dit via een browser (Windows) of het wget commando (Linux).

OCSP Stapling inschakelen

Zodra je server(s) OCSP-responsen kan opvragen waardoor stapling wordt ingeschakeld, zijn er slechts twee regels die moeten worden toegevoegd.

Voeg de volgende regel binnen de VirtualHost toe waarop ook het SSL certificaat staat: SSLUseStapling on

Voeg de volgende regel toe aan de configuratie, deze mag niet binnen een VirtualHost staan: SSLStaplingCache “shmcb:/var/log/stapling_cache(128000)”

SSLUseStapling schakelt de functie in terwijl SSLStaplingCache specificeert waar de cache moet worden opgeslagen en hoe groot deze is.

Als je werkt met de meest recente stabiele versies van Apache en OpenSSL, is het inschakelen van deze functie veilig. Het wordt alleen gebruikt wanneer de cliënt het ondersteunt zodat er geen compatibiliteitsproblemen zullen optreden. Als de server om wat voor reden dan ook er niet in slaagt om de cache te vullen met een geldige OCSP respons zal de cliënt doorgaans terugvallen in het doen van een realtime OCSP verzoek.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.