Mi registro de errores de Apache muestra:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
La razón principal es que nftables de mi servidor bloquea cualquier solicitud a Internet.
En mi opinión, el servidor web no debería iniciar ninguna conexión a Internet para que sea lo más seguro posible. Pero el grapado OCSP requiere una conexión DNS y tráfico http(s) desde el servidor a los servidores de mi CA.
¿Es posible permitir solo solicitudes OSCP del servidor en lugar de todos los http(s) a través de nftables?
Examiné esta comunicación y encontré que la solicitud OCSP es HTTP POST con "Tipo de contenido: aplicación/solicitud ocsp". ¿Puedo usar esto para filtrar las conexiones de solicitud OSCP?