Nginx - OCSP stapling inschakelen

OCSP stapling is mogelijk in Nginx vanaf versie 1.3.7.

Om OCSP stapling goed werkend te krijgen moet Nginx beschikken over een correct geïnstalleerd certificaat en een bestand met de bijhorende root en intermediate certificaten. Zorg er daarom voor dat het certificaat correct geïnstalleerd staat. Dit is te controleren met de SSLCheck.

Verder is het van belang dat de webserver de OCSP responders kan bereiken waarbij de server de OCSP status ophaalt. Deze staan vermeld in het certificaat en achterhaal je op volgende manier:

Windows

Open het certificaat door hier op te dubbelklikken en ga naar het tabblad Details. Scroll naar het veld Authority Information Access of Toegang tot CA-gegevens. Hier vind je een OCSP – URI of Onlinestatus van het certificaat met hierbij het adres van de OCSP responder van de CA. Bijvoorbeeld URL=http://ocsp.thawte.com

Linux

Lees het certificaat uit met OpenSSL met commando:
openssl x509 -in uwcertificaat.crt -text

Zoek in de output de OCSP – URI:. Het hierbij vermelde adres is van de OCSP reponder. Bijvoorbeeld URL=http://ocsp.thawte.com.

Test of je webserver dit adres kan bereiken met het genoemde protocol. Uitgaande van bovenstaand voorbeeld gebeurt dit via een browser (windows) of het wget commando (linux).

Configuratie

Wanneer je zeker bent van de correcte werking van de certificaat chain en de bereikbaarheid van de OCSP responder, maak dan een bestand aan met de bijbehorende intermediate en root certificaten en voeg onderstaande regels toe aan de Nginx configuratie om OCSP stapling in te schakelen.

Schakel OCSP stapling in:
ssl_stapling on;

Schakel verificatie van de OCSP response in:
ssl_stapling_verify on;

Geef de exacte locatie van bestand met de intermediate en root certificaten op:
ssl_trusted_certificate /path/to/cert_chain.pem

Geef indien noodzakelijk een DNS server op. In onderstaand voorbeeld gaan we uit van de publieke Google DNS servers:
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;