Если для привязки сайта IIS установлен флажок «Требовать указание имени сервера», сшивание OCSP для этого сайта отключено.
Это легко подтверждается включением SNI для сайта, который в настоящее время не требует этого, и проверкой с помощью https://www.ssllabs.com/ssltest/ или openssl:
openssl s_client -connect foobar.com:443 -servername foobar.com -tls1 -tlsextdebug -status
Есть ли у кого-нибудь обходной путь для этого, чтобы клиенты сайтов с поддержкой SNI могли пользоваться преимуществами сшивания OCSP?
Создайте значение регистра DWORD EnableOcspStaplingForSni под HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\ и установите ненулевое значение.
Согласно Microsoft, это поведение по умолчанию отключено из-за потенциальных проблем с производительностью.
Чтобы включить сшивание OCSP для привязок SNI и CCS, найдите следующий подраздел реестра:
"EnableOcspStaplingForSni"=dword:00000001под Путь к реестру:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
Фрагмент Powershell:
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\" -Name "EnableOcspStaplingForSni" -PropertyType DWord -Value 1
Справочная статья Microsoft, статья касается сервера Windows 2012, я это тестировал, и он по-прежнему актуален и для 2016 года.
OCSP сшивание
Сшивание Online Certificate Status Protocol (OCSP) позволяет веб-серверу, например службам Internet Information Services (IIS), предоставлять текущий статус отзыва сертификата сервера, когда он отправляет сертификат сервера клиенту во время установления связи TLS. Эта функция снижает нагрузку на серверы OCSP, поскольку веб-сервер может кэшировать текущий статус OCSP сертификата сервера и отправлять его нескольким веб-клиентам. Без этой функции каждый веб-клиент попытался бы получить текущий статус OCSP сертификата сервера с сервера OCSP. Это создало бы высокую нагрузку на этот сервер OCSP.
По умолчанию поддержка OCSP включена для веб-сайтов IIS с простой безопасной привязкой (SSL / TLS). Однако эта поддержка не включена по умолчанию, если веб-сайт IIS использует один или оба из следующих типов безопасных (SSL / TLS) привязок:
Требовать указания имени сервера
Использовать централизованное хранилище сертификатов
В этом случае ответ сервера hello во время рукопожатия TLS по умолчанию не будет содержать сшитый статус OCSP. Такое поведение повышает производительность: реализация сшивания Windows OCSP масштабируется до сотен сертификатов сервера. Поскольку SNI и CCS позволяют IIS масштабироваться до тысяч веб-сайтов, потенциально имеющих тысячи сертификатов серверов, включение этого поведения по умолчанию может вызвать проблемы с производительностью.
Заметка Включение этого раздела реестра может повлиять на производительность.