OCSP must-staple wird z.B. von SECTIGO bzw. PositiveSL unterstützt. Sie müssen das Feature jedoch selbst in der Zertifikatsanfrage (CSR) aktivieren. Bei DigiCert wird must-staple nur bei OV/EV Produkten unterstützt, siehe https://docs.digicert.com/de/manage-certificates/certificate-profile-options/ Bei RapidSSL Produkten wird OCSP must-staple aktuell NICHT unterstützt.
Es gibt zwei Ebenen bzw. Möglichkeiten, OCSP must-staple zu aktivieren:
1) Über den Webserver via HTTP Response Header. Das können Sie direkt auf dem Server konfigurieren/aktivieren.
2) Über die Extensions im SSL Zertifikat um auch den "first visit" abzudecken, zumindest sofern der zugreifende Client es berücksichtigt. Hierfür muss schon vor der Beantragung des SSLs im CSR das Feature "TLS status_request" hinterlegt sein. Möglich ist das z.B. in dem man die bereits bestehende v3_req extenstion in der openssl Standard-Konfiguration (auf Debian-Linux in /usr/lib/ssl/openssl.cnf) aktiviert und dort die OID 1.3.6.1.5.5.7.1.24 ergänzt:
req_extensions = v3_req
sowie:
[ v3_req ]basicConstraints = CA:FALSEkeyUsage = nonRepudiation, digitalSignature, keyEnciphermenttlsfeature = status_request
alternativ geht auch:[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05
Mit dieser Konfiguration dann wie gewohnt den CSR erzeugen, z.B.
openssl req -config openssl.cnf -new -newkey rsa:4096 -nodes -keyout www.interssl.com.key -out www.interssl.com.csr -subj "/C=AT/ST=/L=/O=/CN=www.interssl.com"
Zur Überprüfung: beim Decodieren muss im CSR aufscheinen:
TLS Feature:
status_request
CSR Decoder zum Überprüfen siehe https://www.interssl.com/de/ssl-tools-csrdecode.php
Das so erzeugte SSL Zertifikat weist dann ebenfalls das TLS Feature "status_request" auf. Den X.509 Decoder zum Testen finden Sie hier:
https://www.interssl.com/de/ssl-tools-crtdecode.php
