Let's Encrypt - Apache - การเย็บเล่ม OCSP

ฉันต้องการเปิดใช้งานการเย็บเล่ม OCSPในเซิร์ฟเวอร์ Apache ของฉัน ฉันกำลังใช้:

• เซิร์ฟเวอร์: Apache / 2.4.7 บน Ubuntu
• ใบรับรอง: Let's เข้ารหัส

ไปที่ไฟล์:

/etc/apache2/sites-available/default-ssl.conf

ฉันเพิ่ม:

SSLUseStapling on

จากนั้นฉันแก้ไข:

/etc/apache2/mods-available/ssl.conf

เพิ่มบรรทัดนี้:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

ผมอ่านที่ว่านี้จะเพียงพอที่จะช่วยให้ OCSP เย็บ

ฉันตรวจสอบไวยากรณ์ด้วย:

sudo apachectl -t

และมันก็โอเค

อย่างไรก็ตามเมื่อทำการโหลดใหม่ Apache ไม่สามารถเริ่มต้นได้

EDIT1:

ทำตามคำแนะนำนี้

ภายในไฟล์โฮสต์ SSL เสมือนของฉัน:

/etc/apache2/sites-available/default-ssl.conf

ฉันเพิ่มบรรทัดด้านล่างนี้ชุดของฉันSSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

ฉันแก้ไขไฟล์นี้แล้ว:

/etc/apache2/mods-available/ssl.conf

เพิ่มบรรทัดนี้:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

ตอนนี้ฉันสามารถรีสตาร์ท Apache ได้โดยไม่มีปัญหาอย่างไรก็ตาม OCSP ดูเหมือนจะไม่ทำงานตาม:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

ฉันทำอะไรผิดมันเกี่ยวข้องกับใบรับรอง Let's Encrypt ของฉันหรือไม่

ฉันวิ่งเข้าไปหาสิ่งนี้เมื่อไม่นานมานี้เอง แต่ดูเหมือนว่าจะได้รับการแก้ไข

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs ตกลง: 97.5% (ฉันต้องเปิดใช้รหัสลับสำหรับโทรศัพท์ LG ของฉัน)

แก้ไข : SSLLabs ตกลง: 100% ได้รับ 100% คงที่ รองรับโทรศัพท์และโค้งงอ

ในสถานการณ์ของฉันฉันใช้สายสามัญ:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

ฉันเปลี่ยนเป็นไฟล์ fullchain.pem และทั้งหมดนั้นดี

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

หรือคุณสามารถเพิ่มบรรทัดลงในไฟล์ VirtualHost ของคุณ

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

นี่คือ/etc/apache2/conf-enabled/ssl.confไฟล์เต็มของฉัน รายการ SSL เฉพาะในไฟล์ VirtualHost เป็นSSLEngine, และSSLCertificateFileSSLCertificateKeyFile

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

ฉันยังคงทำงานกับ OCSP Must Staple อยู่

แก้ไข 1:มีOCSP ต้องเย็บเล่มทำงาน เป็นตัวเลือกในไคลเอนต์ certbot:

certbot --must-staple --rsa-key-size 4096

สำหรับการตอบคำถามของคุณฉันกำลังคัดลอกและวางการapache2.confตั้งค่าบางอย่างของเซิร์ฟเวอร์ Apache ของฉันซึ่งมีการเข้ารหัสเกรด A บนหน้าของฉันด้วย Let's Encrypt SSL certificate:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

นอกจากนี้คุณอาจจะเห็นคำตอบนี้SSLCipherSuiteสำหรับการเสริมสร้างความเข้มแข็ง