Let's Encrypt - Apache - stapel OCSP

Saya ingin mengaktifkan penjepret OCSP di server Apache saya. Saya menggunakan:

• Server: Apache / 2.4.7 di Ubuntu
• Sertifikat: Ayo Enkripsi

Ke file:

/etc/apache2/sites-available/default-ssl.conf

Saya tambahkan:

SSLUseStapling on

Kemudian, saya mengedit:

/etc/apache2/mods-available/ssl.conf

menambahkan baris ini:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Saya membaca bahwa ini akan cukup untuk mengaktifkan penjepret OCSP .

Saya memeriksa sintaks dengan:

sudo apachectl -t

dan itu baik-baik saja.

Namun, saat memuat ulang, Apache tidak dapat memulai.

EDIT1:

Mengikuti panduan ini .

Di dalam file host virtual SSL saya:

/etc/apache2/sites-available/default-ssl.conf

Saya menambahkan garis-garis ini di bawah set saya SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Saya kemudian mengedit file ini:

/etc/apache2/mods-available/ssl.conf

menambahkan baris ini:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Saya sekarang dapat me-restart Apache tanpa masalah, namun, OCSP tampaknya tidak berfungsi, berdasarkan:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Apa yang saya lakukan salah, apakah itu terkait dengan sertifikat Let's Encrypt saya?

Saya mengalami ini beberapa waktu yang lalu, tetapi saya tampaknya telah memperbaikinya.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs setuju: 97,5% (saya harus mengaktifkan sandi untuk ponsel LG saya)

sunting : SSLLabs setuju: 100% Dapat 100% diperbaiki. Dukungan telepon dan kurva yang bodoh.

Dalam situasi saya, saya menggunakan jalur umum:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Saya berubah menjadi file fullchain.pem dan semuanya baik-baik saja.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Atau, Anda dapat menambahkan baris ke file VirtualHost Anda

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Ini /etc/apache2/conf-enabled/ssl.conffile lengkap saya . Satu-satunya item SSL dalam file VirtualHost adalah SSLEngine, SSLCertificateFiledan SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Saya masih bekerja di OCSP Must Staple

EDIT1: Punya OCSP Harus Staple berfungsi. Ini merupakan opsi di klien certbot:

certbot --must-staple --rsa-key-size 4096

Untuk menjawab pertanyaan Anda, saya menyalin dan menempel beberapa apache2.confpengaturan server Apache saya, yang menyediakan enkripsi tingkat A pada halaman saya dengan Let's Encrypt sertifikat SSL:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Selain itu Anda dapat melihat jawaban ini untuk memperkuat SSLCipherSuite.