L'OCSP Stapling permet aux client de vérifier la validité du certificat sans faire de requête auprès de l'autorité de certification. Letsencrypt eux-mêmes recommendent de l'activer pour des questions de performances, respect de la vie privée et aussi parce que ça leur coûte moins cher :-)
Avec nginx c'est assez simple à activer, il faut:
- Ajouter la config pour le stapling dans la config nginx du site:
ssl_certificate /etc/letsencrypt/live/.../fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/.../privkey.pem; # managed by Certbot
# ajouter ces lignes:
ssl_trusted_certificate /etc/letsencrypt/live/.../chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
Redémarrer nginx et tester
Forcer un renouvellement des certificats avec l'option must-staple (attention, ça veut dire que si le stapling est mal configuré le site sera inaccessible)
certbot renew --must-staple --force-renewal
- Redémarrer nginx et s'assurer que tout fonctionne :-)
# Mail
Posté par nud . Évalué à 2 (+0/-0).
Attention cependant que les serveurs mail classiques (postfix, dovecot) ne supportent pas l'OCSP stapling, et donc il faut bien veiller à ne pas activer must-staple sur le domaine qui gère les mails!
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.