Mein Apache-Fehlerprotokoll zeigt:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
Der Hauptgrund ist, dass die Nftables meines Servers alle Anfragen an das Internet blockieren.
Meiner Meinung nach sollte der Webserver aus Sicherheitsgründen keine Verbindungen zum Internet herstellen. OCSP-Stapling erfordert jedoch eine DNS-Verbindung und HTTP(S)-Verkehr vom Server zu den Servern meiner Zertifizierungsstelle.
Ist es möglich, nur OSCP-Anfragen vom Server zuzulassen, anstatt alle HTTP(s) über nftables?
Ich habe diese Kommunikation untersucht und festgestellt, dass es sich bei der OCSP-Anforderung um einen HTTP-POST mit „Content-Type: application/ocsp-request“ handelt. Kann ich dies verwenden, um OSCP-Anforderungsverbindungen zu filtern?