我的 apache 错误日志显示:
AH01972: could not resolve address of OCSP responder ocsp.usertrust.com
主要原因是我的服务器的 nftables 阻止了任何对 Internet 的请求。
我认为 Web 服务器不应该发起任何与互联网的连接,以保证尽可能的安全。但 OCSP 装订需要 DNS 连接和从服务器到我的 CA 服务器的 http(s) 流量。
是否可以通过 nftables 仅允许来自服务器的 OSCP 请求而不是所有 http(s) 请求?
我检查了此通信,发现 OCSP 请求是 HTTP POST,内容类型为“content-type: application/ocsp-request”。我可以用它来过滤 OSCP 请求连接吗?