nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate
Nginxで下記waringが出力されるようになったので、調査したときの覚書。
nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/hoge.jp/fullchain.pem"
環境: Nginx v1.26.3
Let's EncryptではOCSPのサポートを終了する。
公式サイト: Ending OCSP Support in 2025 - Let's Encrypt
▼ AIによる日本語要約
何が?: Let's Encryptは、証明書の失効状態をリアルタイムで確認するOCSP (Online Certificate Status Protocol) のレスポンス提供を停止します。
いつ?: 2025年5月7日
なぜ変更するのか? (OCSPの問題点)
- プライバシーの侵害: クライアントがOCSPサーバーに問い合わせると、「どのユーザーが、いつ、どのサイトを訪問したか」という情報が証明書発行局(Let's Encrypt)に筒抜けになってしまいます。
これはLet's Encryptのプライバシー保護の理念に反します。 - パフォーマンスの低下: サイト表示時に、ブラウザが別途OCSPサーバーに問い合わせるため、ページの読み込みが遅くなります。
- 信頼性の欠如 (ソフトフェイル): OCSPサーバーがダウンしていたり、応答が遅かったりした場合、ほとんどのブラウザはタイムアウトを待たずに「たぶん有効だろう」と判断して接続を続行してしまいます(ソフトフェイル)。
このため、セキュリティ上のメリットが薄いとされています。
warningの原因は証明書にOCSP URLが含まれていないから。
証明書ファイルにOCSPレスポンダのURLが含まれているかを確認するコマンド。
# openssl x509 -in /usr/local/etc/letsencrypt/live/hoge.jp/fullchain.pem -noout -ocsp_uri
ssl_staplingの機能はoffにする(コメントアウトする)。
#ssl_stapling on;
#ssl_stapling_verify on;
nginx再起動。
# nginx -t
# systemctl reload nginx
▼ 関連記事
- certbotでSSL化してあるサイトを別サーバーに移行(2024年6月)
- NginxのSSL/TLS設定を見直す(2019年版)
- Let's Encryptで無料SSLをCentOS7に設定(certbot)