내 아파치 오류 로그에 다음이 표시됩니다.
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
주된 이유는 내 서버의 nftables가 인터넷에 대한 모든 요청을 차단하기 때문입니다.
내 생각에는 웹 서버는 가능한 한 보안을 유지하기 위해 인터넷 연결을 시작해서는 안 됩니다. 그러나 OCSP 스테이플링에는 서버에서 내 CA 서버로의 DNS 연결과 http(s) 트래픽이 필요합니다.
nftables를 통해 모든 http(s) 대신 서버의 OSCP 요청만 허용할 수 있습니까?
이 통신을 조사한 결과 OCSP 요청이 "Content-Type: application/ocsp-request"를 사용하는 HTTP POST인 것으로 나타났습니다. 이를 사용하여 OSCP 요청 연결을 필터링할 수 있습니까?