Как включить OCSP Stapling
OCSP Stapling — сервер сам периодически получает OCSP-ответ от CA и "прикрепляет" к TLS handshake. Без stapling каждый клиент делает свой OCSP-запрос → +100-300ms + утечка URL в CA. Настройка в nginx: 3 директивы + resolver. Pro + secure by default.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Пошаговая настройка
- Получите chain.pem от CA (для Let's Encrypt — в /etc/letsencrypt/live/example.com/)
- В server block nginx добавьте:
ssl_stapling on; ssl_stapling_verify on; - Укажите trusted certificate:
ssl_trusted_certificate /path/to/chain.pem; - Добавьте resolver (DNS для запросов к OCSP):
resolver 1.1.1.1 8.8.8.8 valid=60s; nginx -t && systemctl reload nginx- Проверьте:
openssl s_client -connect example.com:443 -status < /dev/null 2>&1 | grep -A2 "OCSP Response" - Enterno SSL покажет OCSP Stapling как "Enabled"
Рабочие примеры
| Сценарий | Конфиг |
|---|---|
| nginx minimal config | server {
listen 443 ssl;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
resolver 1.1.1.1 valid=60s;
} |
| Apache | SSLUseStapling On\nSSLStaplingCache "shmcb:logs/ssl_stapling(32768)" |
| Проверка успеха | openssl s_client -connect example.com:443 -status | grep "OCSP Response Status" |
| Must-Staple (enforce) | certbot certonly --must-staple -d example.com # cert имеет must-staple extension |
Типичные ошибки
- Забыть resolver — nginx не сможет резолвить OCSP host → stapling не работает
- chain.pem содержит только server cert (без intermediate) — validation fails
- Слишком агрессивный resolver timeout — stapling иногда выключается
- Must-Staple cert + OCSP down — клиент не сможет подключиться (harsh, но secure)
- На первом запросе nginx делает fresh OCSP fetch — 1-2 слабых клиентов могут увидеть задержку
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Гайды
Исследования
Часто задаваемые вопросы
Обязательно ли OCSP Stapling?
Нет технически, но Qualys SSL Labs снижает grade на A-. Mozilla рекомендует. Browsers с Must-Staple cert требуют.
Сколько часто nginx запрашивает OCSP?
nginx кэширует response на несколько часов (не настраивается напрямую, зависит от cache control в OCSP response).
Let's Encrypt поддерживает OCSP?
Да, полностью. Their OCSP responder ocsp.int-x3.letsencrypt.org 24/7.
Как проверить что stapling работает?
<a href="/ssl">Enterno SSL</a> → секция TLS → "OCSP Stapling: Active" + <code>openssl s_client -status</code>.