Мой журнал ошибок Apache показывает:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
Основная причина в том, что nftables моего сервера блокирует любые запросы в Интернет.
По моему мнению, веб-сервер не должен инициировать никаких подключений к Интернету, чтобы быть максимально безопасным. Но для OCSP-сшивания требуется DNS-подключение и http(s)-трафик от сервера к серверам моего CA.
Можно ли разрешить только запросы OSCP с сервера вместо всех http(s) через nftables?
Я проверил это сообщение и обнаружил, что запрос OCSP — это HTTP POST с "Content-Type: application/ocsp-request". Могу ли я использовать это для фильтрации соединений запроса OSCP?