我的 apache 錯誤日誌顯示:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
主要原因是我的伺服器的 nftables 阻止了對互聯網的任何請求。
在我看來,為了盡可能安全,Web 伺服器不應該啟動任何與網路的連線。但 OCSP 裝訂需要 DNS 連接和從伺服器到我的 CA 伺服器的 http(s) 流量。
是否可以僅允許來自伺服器的 OSCP 請求,而不是透過 nftables 的所有 http(s) 請求?
我檢查了此通信,發現 OCSP 請求是帶有“Content-Type: application/ocsp-request”的 HTTP POST。我可以用它來過濾 OSCP 請求連線嗎?