從2025年5月7日起,Let’s Encrypt 從其證書中移除了OCSP URL,2025年8月6日完全關閉 OCSP 響應器,因此如果之前在 Nginx 配置中啓用了 ssl_stapling就會出現這個警告:
1nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/path-to-certificate/domain.pem"
這個警告不會影響網站的正常運行和HTTPS加密,但是在log裏會出現,很礙眼,既然發現了就解決它吧。
解決方法:
禁用 OCSP Stapling。
編輯 Nginx 的 SSL 配置文件: /etc/nginx/conf.d/ssl.conf 或者 /etc/nginx/snippets/ssl-params.conf,或者站點配置文件,注釋掉 OCSP Stapling的相關配置行:
1# ssl_stapling on;
2# ssl_stapling_verify on;
保存好配置文件后,測試配置並重啓 Nginx:
1sudo nginx -t
2sudo systemctl restart nginx
什麼是 OCSP
OCSP(Online Certificate Status Protocol,在線證書狀態協議)是一種用於檢查 SSL/TLS 證書是否被撤銷的協議。在傳統的 TLS 握手過程中,客戶端需要主動向證書頒發機構(CA)的 OCSP 服務器發送請求,查詢服務器證書的有效性狀態。這個過程包含 DNS 查詢、建立 TCP 連接、HTTP 請求等多個步驟,會顯著增加 TLS 握手時間,影響網站訪問速度。而OCSP Stapling 則將原本由客戶端執行的 OCSP 查詢工作轉交給服務器來完成,因此能夠減少客戶端的延遲。