Şifreleyelim - Apache - OCSP zımbalama

Apache sunucumda OCSP zımbalamasını etkinleştirmek istiyorum. Kullanıyorum:

• Sunucu: Ubuntu'da Apache / 2.4.7
• Sertifika: Şifreleyelim

Dosyaya:

/etc/apache2/sites-available/default-ssl.conf

Ekledim:

SSLUseStapling on

Sonra şunu düzenledim:

/etc/apache2/mods-available/ssl.conf

bu satırı ekleyerek:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Bunun OCSP zımbalamasını etkinleştirmek için yeterli olacağını okudum .

Sözdizimini şununla kontrol ettim:

sudo apachectl -t

ve iyiydi.

Ancak, yeniden yükleme sonrasında Apache başlatılamaz.

Edit1:

Bu kılavuzun ardından .

SSL sanal ana bilgisayarımın içinde:

/etc/apache2/sites-available/default-ssl.conf

Ben benim setleri aşağıda bu satırları eklendi SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Daha sonra bu dosyayı düzenledim:

/etc/apache2/mods-available/ssl.conf

bu satırı ekleyerek:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Şimdi Apache'yi sorunsuz bir şekilde yeniden başlatabilirim, ancak OCSP şu şekilde çalışmıyor:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Neyi yanlış yapıyorum, Let's Encrypt sertifikamla ilgili bir şey mi?

Bunu bir süre önce kendim gördüm, ama düzelttim.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs kabul ediyor:% 97,5 (LG telefonum için bir şifre etkinleştirmem gerekiyor)

edit : SSLLabs hemfikir: 100%% 100 düzeltildi. Aptal telefon ve eğri desteği.

Benim durumumda, ortak hattı kullanıyordum:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Fullchain.pem dosyasına geçtim ve her şey yolunda.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Alternatif olarak, VirtualHost dosyanıza bir satır ekleyebilirsiniz

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Bu benim tam /etc/apache2/conf-enabled/ssl.confdosyam. Sanal Ana dosyasında yalnızca SSL öğelerdir SSLEngine, SSLCertificateFileve SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Hala OCSP Zımba Zımba üzerinde çalışıyorum

Edit1: Got OCSP Must Zımba çalışma. Bu certbot istemcisinde bir seçenektir:

certbot --must-staple --rsa-key-size 4096

Sorunuzu cevaplamak için, apache2.confApache sunucumun, sayfamda Let's Encrypt SSL sertifikaları ile A sınıfı şifreleme sağlayan bazı ayarlarını kopyalayıp yapıştırıyorum :

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Ayrıca bu cevabı güçlendirmek için de görebilirsiniz SSLCipherSuite.