Настройка OCSP Stapling на серверах Apache и Nginx

Linux, VPS | Amber | Комментировать запись

Прежде чем приступить к настройке, нужно ознакомиться с некоторыми требованиями данного руководства. Эта статья использует свободные сертификаты, выданные StartSSL, а также основывается на руководствах:

• Установка нескольких SSL-сертификатов на один IP с помощью Apache в Ubuntu 12.04;
• Установка нескольких SSL-сертификатов на один IP с помощью Nginx на Ubuntu 12.04.
  

Что такое OCSP?

OCSP (или Online Certificate Status Protocol) – это протокол, проверяющий, был ли отозван SSL-сертификат. Он был создан в качестве альтернативы CRL, с целью уменьшить время SSL-переговоров. В случае с CRL (Certificate Revocation List) браузер загружает список серийных номеров отозванных сертификатов и проверяет текущий сертификат, что увеличивает время SSL-переговоров. Используя OCSP, браузер посылает запрос к OCSP URL и получает ответ, содержащий состояние достоверности сертификата.

Что такое OCSP stapling?

OCSP stapling – это расширение TLS/SSL, целью которого является повышение производительности SSL-переговоров при сохранении конфиденциальности посетителя.

Две основные проблемы OCSP – это приватность и большая нагрузка на серверы центров сертификации.

Чтобы связаться с центром сертификации (или ЦС) и подтвердить статус сертификата, OCSP требуется браузер. Это нарушает конфиденциальность, поскольку ЦС знает, какой именно сайт был открыт и кто именно получает доступ к нему.

При большом количестве посетителей веб-сайта HTTPS OCSP-сервер ЦС должен обрабатывать все запросы посетителей.

OCSP stapling позволяет владельцу сертификата запрашивать сам OCSP-сервер и кэширует полученный ответ. Этот ответ «сшивается»  (staple) с TLS/SSL рукопожатием через Certificate Status Request. В результате серверы ЦС не перегружаются запросами, а браузеры больше не раскрывают подробностей третьим лицам.

Проверка поддержки OCSP stapling

OCSP stapling поддерживается на:

• HTTP-сервере Apache (>=2.3.3)
• Nginx (>=1.3.7)

Прежде чем приступить к настройке, проверьте версию веб-сервера с помощью следующих команд.

Apache:

apache2 -v

Nginx:

nginx -v

Примечание: пользователям CentOS/Fedora нужно заменить apache2 на httpd.

Извлечение пакета ЦС

Извлеките root и промежуточный сертификат ЦС в формате PEM и сохраните их в одном файле. Чтобы получить root и промежуточный сертификат StartSSL, выполните:

cd /etc/ssl
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem> /dev/null

Если ЦС предоставляет сертификаты в формате DER, конвертируйте их в PEM. К примеру, сертификаты DigiCert предоставляются в формате DER; чтобы скачать и конвертировать их, нужно использовать команды:

cd /etc/ssl
wget -O - https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem> /dev/null
wget -O - https://www.digicert.com/CACerts/DigiCertHighAssuranceEVCA-1.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem> /dev/null

Данные команды используют tee для записи в файл; соответственно, при работе через пользователя с повышенными привилегиями (не root) нужно использовать sudo tee.

Настройка OCSP Stapling на Apache

Отредактируйте файл виртуальных хостов SSL и внесите в директиву <VirtualHost></VirtualHost> следующий код:

sudo nano /etc/apache2/sites-enabled/example.com-ssl.conf
SSLCACertificateFile /etc/ssl/ca-certs.pem
SSLUseStapling on

Затем укажите расположение кэша вне директивы <VirtualHost></VirtualHost>.

sudo nano /etc/apache2/sites-enabled/example.com-ssl.conf
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Если вы следовали данному руководству по установке SSL-сертификатов на Apache, файл виртуального хоста будет выглядеть так:

/etc/apache2/sites-enabled/example.com-ssl.conf
<IfModule mod_ssl.c>
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
<VirtualHost *:443>
ServerAdmin webmaster@localhost
ServerName example.com
DocumentRoot /var/www
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/example.com/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/example.com/apache.key
SSLCACertificateFile /etc/ssl/ca-certs.pem
SSLUseStapling on
</VirtualHost>
</IfModule>

Затем протестируйте конфигурации, чтобы заранее выявить ошибки:

apachectl -t

Если появится сообщение «Syntax OK», перезапустите сервер.

service apache2 reload

Теперь перейдите на веб-сайт через IE (в Vista и т.п.) или Firefox 26 + и проверьте журнал ошибок.

tail /var/log/apache2/error.log

Если файл, указанный в директиве SSLCACertificateFile, отсутствует, будет выведено подобное сообщение об ошибке:

[Fri May 09 23:36:44.055900 2014] [ssl:error] [pid 1491:tid 139921007208320] AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
[Fri May 09 23:36:44.056018 2014] [ssl:error] [pid 1491:tid 139921007208320] AH02235: Unable to configure server certificate for stapling

Если никаких сообщений об ошибках не появилось, переходите к завершающим действиям.

Настройка OCSP stapling на Nginx

Отредактируйте файл виртуального хоста и внесите в раздел server {} следующий блок кода:

sudo nano /etc/nginx/sites-enabled/example.com.ssl
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;

Если, чтобы настроить SSL-сертификаты на Nginx, вы следовали данной статье, то виртуальный хост будет выглядеть так:

/etc/nginx/sites-enabled/example.com.ssl
server {
listen   443;
server_name example.org;
root /usr/share/nginx/www;
index index.html index.htm;
ssl on;
ssl_certificate /etc/nginx/ssl/example.org/server.crt;
ssl_certificate_key /etc/nginx/ssl/example.org/server.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;
}

Теперь нужно убедиться, что все работает должным образом; для этого нужно протестировать конфигурации:

service nginx configtest

Перезапустите nginx:

service nginx reload

Затем откройте веб-сайт через IE (в Vista и т.п.) или Firefox 26 + и проверьте журнал ошибок.

tail /var/log/nginx/error.log

Если в файле, указанном в ssl_trusted_certificate, отсутствует сертификат, появится ошибка:

2014/05/09 17:38:16 [error] 1580#0: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com

Если же ошибок не обнаружено, переходите к следующему разделу руководства.

Тестирование OCSP Stapling

Данный раздел описывает два способа проверки работы OCSP stapling: инструмент командной строки openssl и SSL-тест на Qualys.

Команда openssl

Данная команда выводит раздел, который говорит, соответствует ли этот веб-сервер данным OCSP. Этот раздел (найденный командой grep) выглядит так:

echo QUIT | openssl s_client -connect www.somesite.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

Замените www.somesite.com своим доменным именем. Если OCSP stapling работает должным образом, появится такой результат:

OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 4C58CB25F0414F52F428C881439BA6A8A0E692E5
Produced At: May  9 08:45:00 2014 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: B8A299F09D061DD5C1588F76CC89FF57092B94DD
Issuer Key Hash: 4C58CB25F0414F52F428C881439BA6A8A0E692E5
Serial Number: 0161FF00CCBFF6C07D2D3BB4D8340A23
Cert Status: good
This Update: May  9 08:45:00 2014 GMT
Next Update: May 16 09:00:00 2014 GMT

Отсутствие какого-либо результата означает, что OCSP stapling не работает.

Онлайн-тест Qualys

Чтобы проверить работу OCSP stapling онлайн, перейдите на этот сайт. Когда  тестирование будет завершено, найдите строку OCSP stapling в разделе Protocol Details.