Let's Encrypt - Apache - Сшивание OCSP

Я хотел бы включить сшивание OCSP на моем сервере Apache. Я использую:

• Сервер: Apache / 2.4.7 на Ubuntu
• Сертификат: давайте зашифруем

К файлу:

/etc/apache2/sites-available/default-ssl.conf

Я добавил:

SSLUseStapling on

Затем я отредактировал:

/etc/apache2/mods-available/ssl.conf

добавив эту строку:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Я читал, что этого будет достаточно, чтобы включить сшивание OCSP .

Я проверил синтаксис с:

sudo apachectl -t

и все было в порядке.

Однако после перезагрузки Apache не может запуститься.

EDIT1:

Следуя этому руководству .

Внутри моего файла виртуального хоста SSL:

/etc/apache2/sites-available/default-ssl.conf

Я добавил эти строки ниже моих наборов SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Затем я отредактировал этот файл:

/etc/apache2/mods-available/ssl.conf

добавив эту строку:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Теперь я могу перезапустить Apache без проблем, однако OCSP, похоже, не работает, основываясь на:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Что я делаю не так, это связано с моим сертификатом Let's Encrypt?

Я столкнулся с этим некоторое время назад сам, но я, кажется, исправил это.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs согласен: 97,5% (я должен включить шифр для моего телефона LG)

Изменить : SSLLabs согласен: 100% Получил 100% исправлено. Тупая поддержка телефона и кривой.

В моей ситуации я использовал общую линию:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Я перешел на файл fullchain.pem и все хорошо.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Кроме того, вы можете добавить строку в свой файл VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Это мой полный /etc/apache2/conf-enabled/ssl.confфайл. Единственные SSL элементы в файле VirtualHost являются SSLEngine, SSLCertificateFileи SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Я все еще работаю над OCSP Must Staple

РЕДАКТИРОВАТЬ1: Получил OCSP Должно работать сшивания Это опция в клиенте certbot:

certbot --must-staple --rsa-key-size 4096

Для ответа на ваш вопрос я копирую и вставляю некоторые apache2.confнастройки моего сервера Apache, который обеспечивает шифрование класса A на моей странице с помощью SSL-сертификатов Let's Encrypt:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Кроме того, вы можете увидеть этот ответ для усиления SSLCipherSuite.