Вопрос или проблема
Я запускаю Apache 2.4 на Windows с сертификатом Let’s Encrypt. Теперь, в июле этого года, Let’s Encrypt объявил о намерении убрать службу OCSP. Это меня сбивает с толку. Я использую mod_md и hppt-01 для автоматического обновления сертификата, что усложняет ситуацию.
[Ситуация]
- Проверил httpd-ssl.conf и обнаружил, что строка “SSLUseStapling” закомментирована, что значит, что статус по умолчанию должен быть ВЫКЛ. Правильно?
- Не могу найти директиву “SSLOCSPEnable” в httpd.conf, httpd-ssl.conf или openssl.cnf. По умолчанию она должна быть ВЫКЛ.
- Запустил тест SSL от SSL Labs. Результат: “OCSP stapling Yes” !!!
- Документация Apache по mod_md гласит: “OCSP Stapling является необходимым компонентом для любого https: сайта”.
[Вопрос]
- Как мне отключить OCSP?
- Как будет происходить обновление сертификата после отключения?
Ответ или решение
Для решения вашей проблемы с отключением OCSP в Apache 2.4 на Windows и последующим обновлением сертификатов Let’s Encrypt, давайте поэтапно рассмотрим указанные вами вопросы.
Отключение OCSP в Apache 2.4
-
Проверка параметров конфигурации
Вы уже проверили файлhttpd-ssl.confи не нашли директивуSSLOCSPEnable, что указывает на то, что по умолчанию OCSP не включен. Важно проанализировать, какие дополнительные директивы могут влиять на это. -
Отключение OCSP Stapling
Для отключения OCSP, необходимо явно указать директивуSSLUseStaplingв вашем конфигурационном файле. Вам нужно убедиться, что она установлена вoff. Добавьте или измените следующую строку в вашемhttpd-ssl.conf:SSLUseStapling offПосле каких-либо изменений в конфигурационных файлах не забудьте перезапустить Apache, чтобы изменения вступили в силу.
-
Проверка конфигурации
После перезапуска Apache ещё раз выполните тестирование на сайте SSL Labs, чтобы убедиться, что OCSP stapling отключен. Если он по-прежнему отображается как "Yes", возможно, есть какой-то другой файл конфигурации или настройка, которая переопределяет это значение.
Как будет обрабатываться обновление сертификатов после отключения OCSP?
Директива OCSP Stapling предназначена для повышения безопасности соединения, но её отключение не должно повлиять на процесс автоматического обновления сертификатов с использованием mod_md и автоматического обновления через http-01 метод.
-
Обновление сертификатов:
mod_mdотвечает за автоматическое обновление сертификатов и не зависит от функциональности OCSP. Вы сможете продолжать обновлять свои сертификаты с помощьюmod_mdнезависимо от статуса OCSP. -
Безопасность: Важно помнить, что при отключении OCSP ваш сервер больше не будет проверять статус отзывов сертификатов онлайн, что может сделать соединение менее безопасным. Вы должны учитывать этот риск при принятии решения.
Рекомендации
- Если ваша цель заключается в соблюдении стандартов безопасности и закрытии возможных уязвимостей, стоит рассмотреть возможность поддержания OCSP, даже если у Let’s Encrypt существуют изменения в своих службах.
- Обсудите возможные альтернативы и действия с вашей командой или сообществом, чтобы убедиться, что вы не пропустите важные обновления из мира сертификаций.
Если у вас возникнут дополнительные вопросы или проблемы, не стесняйтесь обращаться за помощью.