Nginx letsencrypt stappling OCSP

Question

Nginx letsencrypt stappling OCSP

#1 resposta do (1 votos)
#2 resposta do (1 votos)

4

Eu configurei o nginx com certificados SSL e letsencrypt. No entanto, não consigo fazer o storps OCSP funcionar.

Pelo que encontrei na web, ele deve funcionar com a configuração a seguir, mas isso não acontece. Meu nginx vhost é assim:

server {

    ...

    # SSL Certificates
    ssl_certificate         /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;

    # Allow Nginx to send OCSP results during the connection process
    ssl_stapling on;
    ssl_stapling_verify on;

    resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 10s;

    ...
}

Quando examino meu domínio com o link , ele informa:

OCSP stapling   No

O que estou perdendo na minha configuração?

nginx ocsp ssl-certificate

por lockdoc 05.04.2016 / 08:53

2 respostas

Tags nginx ocsp ssl-certificate

Prompt de comando demorando muito para aparecer após a conexão ssh O usuário do Windows pode sobrescrever as permissões ACL do NFSv4 / Solaris dos arquivos no compartilhamento CIFS / SMB (conceder acesso total a si mesmo), como evitar isso?

score 1 · Answer 1

Não vejo nada de errado com sua configuração, mas talvez remover a diretiva resolver redundante produzirá um resultado diferente.

Eu também enfrentei uma situação semelhante e testei o grampeamento OCSP usando openssl com base em este artigo :

echo QUIT | openssl s_client -connect www.yourdomain.com:443 -servername www.yourdomain.com -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

Nenhuma saída significa que o grampeamento OCSP ainda não está funcionando.

Pelo que eu observei, se eu reiniciar / recarregar o Nginx e testar imediatamente usando o SSL Labs, ele falhará. Em seguida, eu testaria com o comando acima algumas vezes até que ele funcionasse e, em seguida, fizesse um novo teste no SSL Labs. Eu recomendo que você dê uma chance, e se falhar na primeira vez, dê alguns minutos e tente novamente. Isso funciona para mim.

score 1 · Answer 2

O nginx está buscando a resposta do OCSP após a primeira vez que uma solicitação usando o respectivo certificado foi feita.

Esse comportamento é provavelmente será alterado para oferecer suporte total a OCSP Must Staple

Até que isso aconteça, um teste confiável para grampear é conectar várias vezes, permitindo ao nginx algum tempo para buscar a resposta assinada entre eles.

for i in 3 0; do openssl s_client -connect example.com:443 -servername example.com -status </dev/null 2>&1 | grep -A 13 OCSP; sleep $i; done

Os respondentes do OCSP falham - muito. Se eles forem lentos, o nginx irá desistir depois de um tempo limite (não configurável, afaik 60seg) e anote-o no log de erros. Se você quiser saber imediatamente, tente:

openssl x509 -noout -text -in example.crt | grep "OCSP - URI" | cut -d: -f2,3 | grep -io "^http://[-.a-z0-9]*$" | xargs curl -D-