Vamos Criptografar - Apache - grampeamento OCSP

8

Eu gostaria de ativar o grampeamento do OCSP no meu servidor Apache. Estou usando:

Para o arquivo:

/etc/apache2/sites-available/default-ssl.conf

Eu adicionei:

SSLUseStapling on

Depois editei:

/etc/apache2/mods-available/ssl.conf

adicionando esta linha:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Eu li que isso seria suficiente para ativar o grampeamento do OCSP .

Eu verifiquei a sintaxe com:

sudo apachectl -t

e tudo bem.

No entanto, ao recarregar, o Apache não pode ser iniciado.

EDIT1:

Seguindo este guia .

Dentro do meu arquivo host virtual SSL:

/etc/apache2/sites-available/default-ssl.conf

Eu adicionei estas linhas abaixo dos meus conjuntos de SSLCertificateFile , SSLCertificateKeyFile :

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Eu editei este arquivo:

/etc/apache2/mods-available/ssl.conf

adicionando esta linha:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Agora posso reiniciar o Apache sem problemas, no entanto, o OCSP parece não estar funcionando, com base em:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent

O que estou fazendo de errado? Algo relacionado ao certificado Let's Encrypt?

    
por NineCattoRules 05.05.2017 / 18:42

2 respostas

0

Eu me deparei com isso há um tempo atrás, mas parece que consertei isso.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

O SSLLabs concorda: 97,5% (eu tenho que habilitar uma cifra para o meu telefone LG)

editar : SSLLabs concorda: 100% 100% fixo Suporte estúpido para telefone e curva.

Na minha situação, eu estava usando a linha comum:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Eu mudei para o arquivo fullchain.pem e tudo está bem.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Como alternativa, você pode adicionar uma linha ao seu arquivo VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Este é o meu arquivo /etc/apache2/conf-enabled/ssl.conf completo. Os únicos itens SSL no arquivo VirtualHost são os SSLEngine , SSLCertificateFile e SSLCertificateKeyFile .

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Ainda estou trabalhando no OCSP Must Staple

EDIT1: Obteve OCSP Deve Agrafar funcionando. É uma opção no cliente certbot:

certbot --must-staple --rsa-key-size 4096
    
por 24.09.2017 / 01:50
0

Para responder à sua pergunta, estou copiando e colando algumas das configurações de apache2.conf do meu servidor Apache, que fornece criptografia de nível A em minha página com os certificados Vamos criptografar SSL:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Além disso, você pode ver esta resposta para fortalecer o SSLCipherSuite .

    
por 24.09.2017 / 03:37