Forum Linux.debian/ubuntu [Letsencrypt & NGinx] : Fin du support OCSP

Posté par electro575 le 28 mars 2026 à 10:19. Licence CC By‑SA.

Étiquettes :

mar.

2026

Bonjour à tous,

Je me heurte actuellement à un problème SSL lorsque j'essaie de joindre un de mes sites auto-hébergé.

L'erreur est la suivante :

nginx : [warn] 54906#54906: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/domain.org/fullchain.pem"

La configuration nginx que j'applique en général pour la partie HTTPS de mes conf nginx est la suivante.

listen 443      ssl;
listen [::]:443 ssl;
http2 on;

# SSL/TLS settings
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_certificate         /etc/letsencrypt/live/domain.org/fullchain.pem;
ssl_certificate_key     /etc/letsencrypt/live/domain.org/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/domain.org/chain.pem;
ssl_dhparam             /etc/letsencrypt/ssl-dhparams.pem;
ssl_stapling            on;
ssl_stapling_verify     on;

Que faut-il faire ? Désactiver le ssl_stapling ?

Je vous remercie pour votre aide.

# La réponse est dans la question ;-)

Posté par Voltairine le 28 mars 2026 à 11:20. Évalué à 10 (+8/-0).

Pour faire court : oui il faut déactiver l'agrafage OCSP (SSL Stapling). C'est obsolète.

Fin de 2024 de Let's Encrypt anonce le fin de la prise en charge de OCSP dans ses certificats avec un calendrier :
- depuis mais 2025 les certificats ne contienent plus d'URL OCSP (remplacée par celle d'une CRL ;
- depuis août 2025 les répondeurs OCSP sont arrêtés.

La fin de l'utilisation d'OCSP est justifiée par les risques sur la confidentialité des données. À chaque visite via un navigateur vérifiant la validité des certificat via OCSP, l'URL visité et l'IP du visiteur sont transmises à l'autorité de certification qui opéré le serveur OCSP.

Répondre
- [^] # Re: La réponse est dans la question ;-)
  
  Posté par Voltairine le 28 mars 2026 à 11:27. Évalué à 6 (+4/-0).
  
  J'ai oublié de donner ce lien (en anglais) pour avoir l'historique et les autres problèmes de sécurité que posaient OCSP.
  
  Répondre
  - [^] # Re: La réponse est dans la question ;-)
    
    Posté par Benoît Sibaud (site web personnel) le 28 mars 2026 à 15:02. Évalué à 6 (+3/-0).
    
    Y a un peu plus d'historique sur https://linuxfr.org/suivi/activer-l-ocsp-stapling-dans-la-configuration-nginx au besoin
    
    Répondre
- [^] # Re: La réponse est dans la question ;-)
  
  Posté par NeoX le 28 mars 2026 à 18:28. Évalué à 3 (+0/-0).
  
  Merci pour l'info,
  j'ai eu recement, avec de vrai certificat, le meme genre d'erreur.
  
  je vais aller vois si je peux desactiver le stapling dans la config de mon reverse
  
  Répondre