Eu encontrei a solução baseada no tutorial que encontrei lá :
cd /etc/ssl/private
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem https://letsencrypt.org/certs/letsencryptauthorityx1.pem https://www.identrust.com/certificates/trustid/root-download-x3.html | tee -a ca-certs.pem> /dev/null
e adicione isso à configuração do seu site / servidor
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;
Recarregue sua configuração
IMPORTANTE: Abra seu navegador e acesse sua página da Web uma vez.
Então você pode testar seu servidor localmente com este cmd:
openssl s_client -connect myexample.org:443 -tls1 -tlsextdebug -status
Você provavelmente receberá uma resposta válida como esta
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X1
Não se preocupe se você tiver um
Verify return code: 20 (unable to get local issuer certificate)
na parte inferior também , o certificado Vamos criptografar ainda não está nos armazenamentos de certificados confiáveis padrão. (Eu não tenho muita experiência SSL, então eu posso estar errado)
O erro não será exibido se você executar o seguinte cmd no servidor:
openssl s_client -CApath /etc/ssl/private/ -connect myexample.org:443 -tls1 -tlsextdebug -status
Depois disso, você pode testar seu servidor usando:
Lembre-se de que, no momento, as respostas OCSP não serão selecionadas pelos testes ssllabs. Presumo que isso ocorra porque o certificado Let's crypt ainda não está nos armazenamentos de certificados confiáveis padrão.