当サイトをCentOS 5からCentOS 7に移行しました。
Apache 2.4になったのでいろいろ調べて調整しているのですが、SSL関係でOCSP Staplingと言うものがあるのを知りました。
NginxでのOCSP Stapling対応設定
http://blog.mylibs.jp/archives/173
OCSP関連についてとてもわかり易く説明してくれています。
OCSP(Online Certificate Status Protocol)とは、SSL/TLS暗号化通信の初期フェーズにおいて証明書の失効を確認するための手順。
従来は署名所失効リスト(CRL)が利用されていたが、CRLはリストが肥大化しダウンロードに非常に時間がかかるようになってきたため、単一レコードの取得で済むOCSPが、現在では証明書の失効を確認する方法として一般的になった。
※上記サイトから引用させて頂きました。
当サイトも2014年9月からhttpsでの運用に切換えました。
SSLサーバ証明書をインストール (1)
https://www.rootlinks.net/2014/09/13/install-ssl-server-certification-1/
そこでApache関連のサイトを探すとこれまたピッタリのサイトが見つかりました。
Apache2.4のセキュリティ設定 (2.2からの移行)
https://www.agilegroup.co.jp/technote/apache-migrate-from22to24.html
このような情報を共有できるようにしてくれるのは本当に有り難いことです。
で、早々に確認してみました。
1 2 3 4 5 |
[root@host01 ~]# openssl s_client -connect localhost:443 -tls1 -status | head (snip) OCSP response: no response sent --- Certificate chain |
取り敢えずそのままssl.confの<VirtualHost _default_:443>の上にcopy & pastしました。
1 2 3 4 5 |
# Enable OCSP Stapling SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000) |
そのあとで再読み込みです。
1 2 3 |
[root@host01 ~]# apachectl -t Syntax OK [root@host01 ~]# apachectl graceful |
有効になっているか確認です。
1 2 3 4 5 6 7 8 |
[root@host01 ~]# openssl s_client -connect localhost:443 -tls1 -status | head (snip) OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) |
このような情報って皆さん、どうやって知るんでしょうね。
やっぱ基本に戻ってドキュメントを読み込むんでしょうか。