Let's Encrypt - Apache - Pinzatura OCSP

Vorrei abilitare la pinzatura OCSP nel mio server Apache. Sto usando:

• Server: Apache / 2.4.7 su Ubuntu
• Certificato: crittografiamo

Al file:

/etc/apache2/sites-available/default-ssl.conf

Ho aggiunto:

SSLUseStapling on

Quindi, ho modificato:

/etc/apache2/mods-available/ssl.conf

aggiungendo questa riga:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Ho letto che questo sarebbe sufficiente per abilitare la pinzatura OCSP .

Ho verificato la sintassi con:

sudo apachectl -t

ed era OK.

Tuttavia, al ricaricamento, Apache non può iniziare.

Edit1:

Seguendo questa guida .

All'interno del mio file host virtuale SSL:

/etc/apache2/sites-available/default-ssl.conf

Ho aggiunto queste righe sotto i miei set di SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Ho quindi modificato questo file:

/etc/apache2/mods-available/ssl.conf

aggiungendo questa riga:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Ora posso riavviare Apache senza problemi, tuttavia, OCSP non sembra funzionare, in base a:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Cosa sto sbagliando, è qualcosa legato al mio certificato Let's Encrypt?

Mi sono imbattuto in questo un po 'di tempo fa me stesso, ma mi sembra di averlo risolto.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs è d'accordo: 97,5% (devo abilitare una cifra per il mio telefono LG)

modifica : SSLLabs accetta: 100% Il 100% è stato corretto. Supporto stupido per telefono e curva.

Nella mia situazione, stavo usando la linea comune:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Ho cambiato il file fullchain.pem e tutto va bene.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

In alternativa, puoi aggiungere una linea al tuo file VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Questo è il mio /etc/apache2/conf-enabled/ssl.conffile completo . Gli unici elementi SSL nel file VirtualHost sono SSLEngine, SSLCertificateFilee SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Sto ancora lavorando su OCSP Must Staple

Edit1: Got OCSP Must Staple lavoro. È un'opzione nel client certbot:

certbot --must-staple --rsa-key-size 4096

Per rispondere alla tua domanda, sto copiando e incollando alcune delle apache2.confimpostazioni del mio server Apache, che fornisce la crittografia di grado A sulla mia pagina con Let's Encrypt certificati SSL:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Inoltre potresti vedere questa risposta per rafforzare il SSLCipherSuite.