nginx起動時に nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate とエラーが出るようになった。原因と対処法のメモ。
環境
- FreeBSD 14.2-RELEASE
- nginx 1.28.0
背景
nginxの起動時に、次のようなwarningが発生するようになった。
nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate "/etc/letsencrypt/live/domain.jp-0001/fullchain.pem"原因
Let’s EncryptがOCSPのサポートを終了したため。
Ending OCSP Support in 2025
Earlier this year we announced our intent to provide certificate revocation information exclusively via Certificate Revo...
letsencrypt.org
次のように段階的に終了すると発表している。
- 2025年1月30日
- OCSP Must Staple 要求は、要求元のアカウントが以前に OCSP Must Staple 拡張を含む証明書を発行していない限り、失敗する
- 2025年5月7日
- この日までに証明書にCRL URLを追加
- この日をもって証明書からOCSP URLを削除
- この日以降、OCSP Must Staple拡張を含むすべてのリクエストが失敗する
- 2025年8月6日
- この日をもってOCSPレスポンダーを停止
対策
warningが出ても、動作上には問題ない。しかしログが埋まるのが鬱陶しいので、設定でOFFにしておくとよい。
/usr/local/etc/nginx/nginx.conf(またはそこからincludeしているファイル)にあるssl_staplingの設定を、次のようにコメントアウトしておく。
#ssl_stapling on;
#ssl_stapling_verify on;nginxを再起動すれば、次からはwarningが出ない。
