📖
Let's EncryptでOCSP staplingを有効にしている人は無効にしよう
タイトルの通りです。
自分はnginx(最近はfreenginx)を趣味で運用しています。そこでLet's Encryptで証明書を作成してTLSを有効にしています。
これまではOCSP staplingを有効にしていましたが、Let's Encrypt側がOCSP staplingのサービスを停止しました。
元々OCSP staplingは失敗したから何か問題が起こる仕組みではない(だからこそ廃止されたわけですが)ので、このまま放置してもいいと言えばいいですが、nginxのエラーログが地味に埋まるし、動かない設定を残しておくのも健全ではないので削除するべきでしょう。
ちなみに自分のサーバーではそれまで出ていなかった以下のエラーが2024/07/20 17:35:15 JSTから断続的に出るようになりました。
2024/07/20 17:35:15 [error] 98574#98574: OCSP_basic_verify() failed (SSL: error:27FFF076:OCSP routines:CRYPTO_internal:signer certificate not found) while requesting certificate status, responder: r3.o.lencr.org, peer: [2600:140b:1a00:15::17dc:5407]:80, certificate: "/home/www/letsencrypt/certs/www.catatsuy.org/fullchain.pem"
設定としては以下の2行を削除すれば大丈夫です。
ssl_stapling on;
ssl_stapling_verify on;
それとssl_trusted_certificateの設定も使われなくなるので削除するべきでしょう。ということで3行以上の削除をすれば大丈夫です。
みんな大好きMozilla SSL Configuration GeneratorはOCSP Staplingにチェックボックスがあるので、こちらを外した設定を利用すれば大丈夫です。
Discussion