Knowledge Base

OCSP Stapling — ускоренная проверка отзыва сертификата

OCSP Stapling

Категория: TLS / HTTPS · Риск: low

OCSP Stapling

Зачем нужна проверка отзыва сертификата

Когда центр сертификации (CA) компрометируется или владелец теряет контроль над закрытым ключом, сертификат **отзывается** — добавляется в список недействительных. Браузер должен это знать до установки HTTPS-соединения.

**Без OCSP Stapling** браузер сам обращается к CA за статусом сертификата при каждом соединении:

• Задержка 50–200 мс на каждое первичное подключение
• Утечка IP посетителей к CA (privacy)
• Если CA недоступен — браузер либо блокирует соединение, либо игнорирует (soft-fail)

**С OCSP Stapling** сервер заранее получает подписанный ответ от CA и включает его прямо в TLS handshake — браузер не делает дополнительных запросов.

Проверка

# Проверить наличие OCSP Stapling
openssl s_client -connect example.com:443 -status -servername example.com 2>/dev/null \
  | grep -A 20 "OCSP Response"

# Хороший результат:
# OCSP Response Status: successful (0x0)
# This Update: ...
# Next Update: ...

# Плохой результат:
# OCSP response: no response sent

Настройка

Nginx

server {
    listen 443 ssl;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # Включить OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;

    # Цепочка сертификатов для верификации (fullchain уже содержит её)
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # DNS для резолвинга OCSP-сервера CA
    resolver 1.1.1.1 8.8.8.8 valid=60s;
    resolver_timeout 5s;
}

Apache

SSLUseStapling On
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
SSLStaplingReturnResponderErrors Off
SSLStaplingFakeTryLater Off

OCSP Must-Staple

**OCSP Must-Staple** — расширение сертификата, которое требует от браузера отказываться от соединения, если сервер не предоставил актуальный OCSP-ответ. Самая строгая защита.

# Запрос сертификата с Must-Staple через certbot
certbot certonly --must-staple -d example.com

⚠️ Включайте Must-Staple только если у вас стабильно работает OCSP Stapling — иначе сайт станет недоступным при сбое OCSP.

Связанные проверки

• [Срок действия TLS-сертификата](/kb/tls/tls-certificate-expiry)
• [Certificate Transparency](/kb/tls/certificate-transparency)