Saltar al contenido principal.

Grapado OCSP en nginx con certificado StartSSL



El protocolo OCSP le permite verificar el estado del certificado SSL en línea. Al abrir un sitio, el navegador intenta comunicarse con el servidor de OCSP y obtener información sobre este certificado. Esto afecta la velocidad de operación, ya que el servidor OCSP puede estar mucho más lejos que el servidor donde se encuentra el sitio.

El grapado de OCSP permite al servidor web adjuntar respuestas de OCSP desde el servidor del emisor del certificado. Eso tiene un efecto positivo en la velocidad de trabajo. Después de todo, el navegador ya no necesita conectarse directamente al servidor del editor.



En general, para habilitar el almacenamiento en nginx, necesita un certificado de raíz de editor. El certificado raíz de StartSSL actual se puede descargar aquí: startssl.com/root . En este caso, primero debe iniciar sesión en su cuenta.

Pero puedes descargar directamente:

  wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt 

A continuación, en la configuración del sitio con un certificado de StartSSL (o en el archivo de configuración global del servidor, si todos los sitios tienen un certificado de StartSSL), escribimos un parámetro que incluye el paso a paso:


  ssl_stapling en; 

Luego el parámetro que indica el certificado raíz que descargamos anteriormente:

  ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt; 

O incluso podemos especificar la ruta al certificado raíz que viene con el paquete openssl:

  ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem; 

Y, lo más importante, la profundidad de verificación de la cadena de certificados. Por defecto, este parámetro es 1.


  ssl_verify_depth 3; 

El startssl tiene una profundidad mínima de 3. Esto verifica el certificado raíz, el certificado intermedio de la CA del Servidor DV de la Clase 1 de StartCom y, directamente, el certificado de su sitio. Sin esto, el stepping no funcionará.

También en muchos artículos se recomienda especificar el parámetro de resolver para determinar la IP de los servidores OCSP. Pero funcionó para mí sin él. No te olvides de reiniciar nginx después de los cambios de archivo. ;)

Puede verificar el funcionamiento del engrapado en los sitios web: https://www.digicert.com/help/ y https://ssllabs.com .



¿Cómo calificas el artículo?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (No hay valoraciones aún)
Cargando ...

Añadir un comentario

Su correo electrónico no será publicado.