Вопрос или проблема
Я запускаю Apache 2.4 на Windows с сертификатом Let’s Encrypt. В июле этого года Let’s Encrypt объявил о намерении удалить службу OCSP. Я использую mod_md и проверку hppt-01 для автоматического обновления сертификата, что делает ситуацию сложной.
[Ситуация]
- Проверил файл httpd-ssl.conf и обнаружил, что строка “SSLUseStapling” закомментирована, что означает, что OCSP по умолчанию отключен. Верно?
- Не могу найти директиву “SSLOCSPEnable” в httpd.conf, httpd-ssl.conf или openssl.cnf. По умолчанию это должно быть отключено.
- Запустил тест SSL Labs. Результат – “OCSP stapling: Да” !!!
- Документация Apache о mod_md гласит, что “OCSP Stapling является необходимым компонентом для любого сайта на https:”.
[Вопрос]
- Как я могу отключить OCSP?
- Как будет обрабатываться обновление сертификата после отключения?
Ответ или решение
Для отключения OCSP в Apache 2.4 на Windows с использованием модуля mod_md и сертификатов Let’s Encrypt, следуйте нижеприведенным рекомендациям.
Отключение OCSP в Apache
-
Проверьте настройки конфигурации:
В зависимости от установленных модулей и конфигурации Apache, для отключения OCSP вам необходимо убедиться, что соответствующие директивы находятся в конфигурационных файлах.Откройте файл
httpd-ssl.conf, который связан с SSL-настройками, и проверьте, чтобы следующиие строки были добавлены или изменены:SSLUseStapling Off SSLOCSPEnable OffЕсли вы не нашли директиву
SSLOCSPEnable, вы можете добавить её самостоятельно, хотя по умолчанию OCSP должен быть отключен. -
Проверка наличия других конфигураций:
После изменения конфигурации убедитесь, что в других конфигурационных файлах, таких какhttpd.confилиopenssl.cnf, нет дополнительных настроек, включающих OCSP. -
Перезагрузите Apache:
После внесения изменений в конфигурацию вам необходимо перезапустить сервер Apache для применения новых настроек:httpd -k restart -
Проверка конфигурации:
После перезагрузки выполните тестирование сервера с помощью SSL Labs, чтобы убедиться, что OCSP больше не используется. Если результат всё еще показывает "OCSP stapling: Yes", убедитесь, что изменения действительно были применены и нет других мест, где может устанавливаться OCSP.
Что будет с обновлением сертификата после отключения OCSP?
Обновление сертификатов Let’s Encrypt будет продолжать работать даже с отключенным OCSP. Данный процесс осуществляется через ACME-протокол, который использует HTTP-01 или другие типы вызовов, такие как DNS-01 и TLS-ALPN-01, для подтверждения владения доменом и обновления сертификатов.
Поскольку использование OCSP не критично для процесса обновления, его отключение не нарушит автоматическую проверку и обновление сертификатов. Однако вам стоит помнить, что OCSP является полезным инструментом для повышения безопасности и проверки действительности сертификатов. В соответствии с обновлениями от Let’s Encrypt следует внимательно следить за изменениями в их политике и адаптировать свою конфигурацию соответственно.
Примечание
Имейте в виду, что хотя Let’s Encrypt планирует убрать свой сервис OCSP, отключение OCSP может повлиять на другие аспекты работы вашего сервера и его сертификатов. Если вы не уверены в том, как это повлияет на вашу конфигурацию, рекомендуется протестировать настройки в безопасной среде перед их внедрением в продуктивный сервер.
Следуя этим шагам, вы сможете успешно отключить OCSP на своем сервере Apache и уверенно управлять процессом обновления сертификатов.