nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate

Nginxで下記waringが出力されるようになったので、調査したときの覚書。

nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/hoge.jp/fullchain.pem"

環境: Nginx  v1.26.3


Let's EncryptではOCSPのサポートを終了する。
公式サイト: Ending OCSP Support in 2025 - Let's Encrypt

▼ AIによる日本語要約

何が?: Let's Encryptは、証明書の失効状態をリアルタイムで確認するOCSP (Online Certificate Status Protocol) のレスポンス提供を停止します。

いつ?: 2025年5月7日

なぜ変更するのか? (OCSPの問題点)

  • プライバシーの侵害: クライアントがOCSPサーバーに問い合わせると、「どのユーザーが、いつ、どのサイトを訪問したか」という情報が証明書発行局(Let's Encrypt)に筒抜けになってしまいます。
    これはLet's Encryptのプライバシー保護の理念に反します。
  • パフォーマンスの低下: サイト表示時に、ブラウザが別途OCSPサーバーに問い合わせるため、ページの読み込みが遅くなります。
  • 信頼性の欠如 (ソフトフェイル): OCSPサーバーがダウンしていたり、応答が遅かったりした場合、ほとんどのブラウザはタイムアウトを待たずに「たぶん有効だろう」と判断して接続を続行してしまいます(ソフトフェイル)。
    このため、セキュリティ上のメリットが薄いとされています。


warningの原因は証明書にOCSP URLが含まれていないから。
証明書ファイルにOCSPレスポンダのURLが含まれているかを確認するコマンド。
# openssl x509 -in /usr/local/etc/letsencrypt/live/hoge.jp/fullchain.pem -noout -ocsp_uri

ssl_staplingの機能はoffにする(コメントアウトする)。

#ssl_stapling on;
#ssl_stapling_verify on;

nginx再起動。
# nginx -t
# systemctl reload nginx



▼ 関連記事