Tutoriel pour déployer OCSP sur les serveurs web Apache httpd et nginx.
Pour tester que c'est OK :
* Wireshark : filtre « ssl.handshake.cert_status » puis, dans le contenu des paquets retenus par le filtre, trouver la section « OCSP Response ». Si le filtre ne remonte aucun paquet, c'est que l'OCSP stapling n'est pas activé sur le serveur web
* testssl.sh est lent à remarquer l'activation de l'OCSP Stapling... Je veux dire que Qualys et d'autres testeurs en ligne le voient avant lui et que wireshark montre l'option mais que testssl.sh ne la voit pas... Je n'ai pas d'explication.
* Si vous utilisez OpenSSL (« echo QUIT | openssl s_client -connect arn-fai.net:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update' » par exemple) et que rien ne s'affiche, c'est peut-être que le site web est seulement accessible si on active SNI. Il faut donc demander à OpenSSL d'activer SNI en ajoutant « -servername <nom_site_web> ».
Thu Mar 17 02:06:23 2016 - permalink -
-
https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx