Bonjour à tous,
Je me heurte actuellement à un problème SSL lorsque j'essaie de joindre un de mes sites auto-hébergé.
L'erreur est la suivante :
nginx : [warn] 54906#54906: "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/domain.org/fullchain.pem"
La configuration nginx que j'applique en général pour la partie HTTPS de mes conf nginx est la suivante.
listen 443 ssl;
listen [::]:443 ssl;
http2 on;
# SSL/TLS settings
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_certificate /etc/letsencrypt/live/domain.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.org/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/domain.org/chain.pem;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
ssl_stapling on;
ssl_stapling_verify on;
Que faut-il faire ? Désactiver le ssl_stapling ?
Je vous remercie pour votre aide.
# La réponse est dans la question ;-)
Posté par Voltairine . Évalué à 4 (+2/-0).
Pour faire court : oui il faut déactiver l'agrafage OCSP (SSL Stapling). C'est obsolète.
Fin de 2024 de Let's Encrypt anonce le fin de la prise en charge de OCSP dans ses certificats avec un calendrier :
- depuis mais 2025 les certificats ne contienent plus d'URL OCSP (remplacée par celle d'une CRL ;
- depuis août 2025 les répondeurs OCSP sont arrêtés.
La fin de l'utilisation d'OCSP est justifiée par les risques sur la confidentialité des données. À chaque visite via un navigateur vérifiant la validité des certificat via OCSP, l'URL visité et l'IP du visiteur sont transmises à l'autorité de certification qui opéré le serveur OCSP.
[^] # Re: La réponse est dans la question ;-)
Posté par Voltairine . Évalué à 3 (+1/-0).
J'ai oublié de donner ce lien (en anglais) pour avoir l'historique et les autres problèmes de sécurité que posaient OCSP.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.