Hãy mã hóa - Apache - ghim OCSP

Tôi muốn kích hoạt tính năng ghim OCSP trong máy chủ Apache của mình. Tôi đang sử dụng:

• Máy chủ: Apache / 2.4.7 trên Ubuntu
• Chứng chỉ: Hãy mã hóa

Để tập tin:

/etc/apache2/sites-available/default-ssl.conf

Tôi đã thêm:

SSLUseStapling on

Sau đó, tôi chỉnh sửa:

/etc/apache2/mods-available/ssl.conf

thêm dòng này:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Tôi đọc rằng điều này sẽ đủ để kích hoạt tính năng dập ghim OCSP .

Tôi đã kiểm tra cú pháp với:

sudo apachectl -t

và nó đã ổn

Tuy nhiên, khi tải lại, Apache không thể khởi động.

EDIT1:

Thực hiện theo hướng dẫn này .

Trong tệp máy chủ ảo SSL của tôi:

/etc/apache2/sites-available/default-ssl.conf

Tôi đã thêm những dòng này bên dưới bộ SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Sau đó tôi đã chỉnh sửa tập tin này:

/etc/apache2/mods-available/ssl.conf

thêm dòng này:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Bây giờ tôi có thể khởi động lại Apache mà không gặp vấn đề gì, tuy nhiên, OCSP dường như không hoạt động, dựa trên:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Tôi đang làm gì sai, nó có liên quan đến chứng chỉ Let Encrypt của tôi không?

Tôi đã gặp phải điều này một thời gian trước đây, nhưng tôi dường như đã sửa nó.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs đồng ý: 97,5% (Tôi phải kích hoạt mật mã cho điện thoại LG của mình)

chỉnh sửa : SSLLabs đồng ý: 100% Đã sửa 100%. Điện thoại ngu ngốc và hỗ trợ đường cong.

Trong tình huống của tôi, tôi đã sử dụng dòng chung:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Tôi đã thay đổi tệp fullchain.pem và tất cả đều tốt.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Ngoài ra, bạn có thể thêm một dòng vào tệp Virtualhost của mình

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Đây là /etc/apache2/conf-enabled/ssl.conftập tin đầy đủ của tôi . Các mục SSL duy nhất trong tệp Virtualhost là SSLEngine, SSLCertificateFilevà SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Tôi vẫn đang làm việc trên OCSP Must Staple

EDIT1: Có OCSP Phải Staple hoạt động. Đó là một tùy chọn trong ứng dụng khách certbot:

certbot --must-staple --rsa-key-size 4096

Để trả lời câu hỏi của bạn, tôi đang sao chép và dán một số apache2.confcài đặt của máy chủ Apache của tôi, nơi cung cấp mã hóa loại A trên trang của tôi bằng chứng chỉ SSL Mã hóa:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Ngoài ra, bạn có thể thấy câu trả lời này để tăng cường SSLCipherSuite.