Let's Encrypt - Apache - stapel OCSP

11

Saya ingin mengaktifkan penjepret OCSP di server Apache saya. Saya menggunakan:

Ke file:

/etc/apache2/sites-available/default-ssl.conf

Saya tambahkan:

SSLUseStapling on

Kemudian, saya mengedit:

/etc/apache2/mods-available/ssl.conf

menambahkan baris ini:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Saya membaca bahwa ini akan cukup untuk mengaktifkan penjepret OCSP .

Saya memeriksa sintaks dengan:

sudo apachectl -t

dan itu baik-baik saja.

Namun, saat memuat ulang, Apache tidak dapat memulai.

EDIT1:

Mengikuti panduan ini .

Di dalam file host virtual SSL saya:

/etc/apache2/sites-available/default-ssl.conf

Saya menambahkan garis-garis ini di bawah set saya SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Saya kemudian mengedit file ini:

/etc/apache2/mods-available/ssl.conf

menambahkan baris ini:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Saya sekarang dapat me-restart Apache tanpa masalah, namun, OCSP tampaknya tidak berfungsi, berdasarkan:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent

Apa yang saya lakukan salah, apakah itu terkait dengan sertifikat Let's Encrypt saya?

NineCattoRules
sumber
Pada konfigurasi Anda, saya berharap ini menggunakan pemetaan anonim, jadi nama file sebenarnya tidak masalah. Kesalahannya adalah kehabisan memori — mungkinkah Anda memiliki beberapa batasan sumber daya yang mencegahnya mengambil memori bersama?
derobert
@derobert silakan periksa pembaruan saya
NineCattoRules
3
Itu kelihatannya harus bekerja — saya memiliki konfigurasi yang sama berjalan dan berfungsi (meskipun pengaturan staping saya adalah seluruh server, bukan hanya satu vhost). Saya sarankan mengubah LogLeveluntuk melihat apakah Anda bisa mendapatkan alasan itu gagal dari Apache. Satu-satunya yang jelas yang dapat saya pikirkan adalah jika Anda memiliki firewall yang membatasi lalu lintas keluar — ia perlu membiarkan permintaan OCSP melaluinya.
derobert
1
Apakah Anda mencoba mengubah LogLevel untuk melihat apakah Anda bisa mendapatkan pesan kesalahan dari Apache?
derobert
1
Ada beberapa level log antara peringatan dan debug . Saya akan coba infodulu.
derobert

Jawaban:

0

Saya mengalami ini beberapa waktu yang lalu, tetapi saya tampaknya telah memperbaikinya.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs setuju: 97,5% (saya harus mengaktifkan sandi untuk ponsel LG saya)

sunting : SSLLabs setuju: 100% Dapat 100% diperbaiki. Dukungan telepon dan kurva yang bodoh.

Dalam situasi saya, saya menggunakan jalur umum:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Saya berubah menjadi file fullchain.pem dan semuanya baik-baik saja.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Atau, Anda dapat menambahkan baris ke file VirtualHost Anda

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Ini /etc/apache2/conf-enabled/ssl.conffile lengkap saya . Satu-satunya item SSL dalam file VirtualHost adalah SSLEngine, SSLCertificateFiledan SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Saya masih bekerja di OCSP Must Staple

EDIT1: Punya OCSP Harus Staple berfungsi. Ini merupakan opsi di klien certbot:

certbot --must-staple --rsa-key-size 4096
Peter Berbec
sumber
0

Untuk menjawab pertanyaan Anda, saya menyalin dan menempel beberapa apache2.confpengaturan server Apache saya, yang menyediakan enkripsi tingkat A pada halaman saya dengan Let's Encrypt sertifikat SSL:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Selain itu Anda dapat melihat jawaban ini untuk memperkuat SSLCipherSuite.

ncomputer
sumber