nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate
Nginxで下記waringが出力されるようになったので、調査したときの覚書。 nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/hoge.jp/fullchain.pem" 環境: Nginx v1.26.3 Let's EncryptではOCSPのサポートを終了する。 公式サイト: Ending OCSP Support in 2025 - Let's Encrypt ▼ AIによる日本語要約 何が?: Let's Encryptは、証明書の失効状態をリアルタイムで確認するOCSP (Online Certificate Status Protocol) のレスポンス提供を停止します。 いつ?: 2025年5月7日 なぜ変更するのか? (OCSPの問題点) プライバシーの侵害: クライアントがOCSPサーバーに問い合わせると、「どのユーザーが、いつ、どのサイトを訪問したか」という情報が証明書発行局(Let's Encrypt)に筒抜けになってしまいます。 これはLet's Encryptのプライバシー保護の理念に反します。 パフォーマンスの低下: サイト表示時に、ブラウザが別途OCSPサーバーに問い合わせるため、ページの読み込みが遅くなります。 信頼性の欠如 (ソフトフェイル): OCSPサーバーがダウンしていたり、応答が遅かったりした場合、ほとんどのブラウザはタイムアウトを待たずに「たぶん有効だろう」と判断して接続を続行してしまいます(ソフトフェイル)。 このため、セキュリティ上のメリットが薄いとされています。 warningの原因は証明書にOCSP URLが含まれていないから。 証明書ファイルにOCSPレスポンダのURLが含まれているかを確認するコマンド。 # openssl x509 -in /usr/local/etc/letsencrypt/live/hoge.jp/fullchain.pem -noout -ocsp_uri ssl_staplingの機能はoffにする(コメントアウトする)。 #ssl_stapli...