Eu me deparei com isso há um tempo atrás, mas parece que consertei isso.
$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)
O SSLLabs concorda: 97,5% (eu tenho que habilitar uma cifra para o meu telefone LG)
editar : SSLLabs concorda: 100% 100% fixo Suporte estúpido para telefone e curva.
Na minha situação, eu estava usando a linha comum:
SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem
Eu mudei para o arquivo fullchain.pem e tudo está bem.
SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem
Como alternativa, você pode adicionar uma linha ao seu arquivo VirtualHost
SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem
Este é o meu arquivo /etc/apache2/conf-enabled/ssl.conf
completo. Os únicos itens SSL no arquivo VirtualHost são os SSLEngine
, SSLCertificateFile
e SSLCertificateKeyFile
.
SSLProtocol -all +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd DHParameters "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
SSLUseStapling On
SSLStaplingCache "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire
Ainda estou trabalhando no OCSP Must Staple
EDIT1: Obteve OCSP Deve Agrafar funcionando. É uma opção no cliente certbot:
certbot --must-staple --rsa-key-size 4096