L'OCSP Stapling permet aux client de vérifier la validité du certificat sans faire de requête auprès de l'autorité de certification. Letsencrypt eux-mêmes recommendent de l'activer pour des questions de performances, respect de la vie privée et aussi parce que ça leur coûte moins cher :-)
Avec nginx c'est assez simple à activer, il faut:
- Ajouter la config pour le stapling dans la config nginx du site:
ssl_certificate /etc/letsencrypt/live/.../fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/.../privkey.pem; # managed by Certbot
# ajouter ces lignes:
ssl_trusted_certificate /etc/letsencrypt/live/.../chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
Redémarrer nginx et tester
Forcer un renouvellement des certificats avec l'option must-staple (attention, ça veut dire que si le stapling est mal configuré le site sera inaccessible)
certbot renew --must-staple --force-renewal
- Redémarrer nginx et s'assurer que tout fonctionne :-)
# Mail
Posté par nud . Évalué à 2 (+0/-0).
Attention cependant que les serveurs mail classiques (postfix, dovecot) ne supportent pas l'OCSP stapling, et donc il faut bien veiller à ne pas activer must-staple sur le domaine qui gère les mails!
# Let's Encrypt et OCSP
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 27 juillet 2024 à 15:07.
https://linuxfr.org/users/devnewton/liens/let-s-encrypt-ne-proposera-plus-ocsp-pour-des-raisons-de-privacite
-> https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html
[^] # Re: Let's Encrypt et OCSP
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
https://letsencrypt.org/2024/12/05/ending-ocsp/
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.