Meu log de erros do Apache mostra:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
O principal motivo é que o nftables do meu servidor bloqueia qualquer solicitação à Internet.
Na minha opinião, o servidor web não deveria iniciar nenhuma conexão com a Internet para ser o mais seguro possível. Mas o grampeamento OCSP requer conexão DNS e tráfego http(s) do servidor para os servidores da minha CA.
É possível permitir apenas solicitações OSCP do servidor, em vez de todos os http(s) via nftables?
Examinei esta comunicação e descobri que a solicitação OCSP é HTTP POST com "Content-Type: application/ocsp-request". Posso usar isso para filtrar conexões de solicitação OSCP?