私の Apache エラー ログには次のように表示されます:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
主な理由は、サーバーの nftables がインターネットへのすべてのリクエストをブロックすることです。
私の意見では、セキュリティを最大化するために、Web サーバーはインターネットへの接続を開始すべきではありません。ただし、OCSP ステープリングには、サーバーから CA のサーバーへの DNS 接続と http(s) トラフィックが必要です。
nftables 経由のすべての http ではなく、サーバーからの OSCP リクエストのみを許可することは可能ですか?
この通信を調べたところ、OCSP 要求は「Content-Type: application/ocsp-request」の HTTP POST であることがわかりました。これを使用して OSCP 要求接続をフィルターできますか?