Vamos criptografar - Apache - grampeamento OCSP


11

Gostaria de ativar o grampeamento OCSP no meu servidor Apache. Estou a usar:

Para o arquivo:

/etc/apache2/sites-available/default-ssl.conf

Eu adicionei:

SSLUseStapling on

Então eu editei:

/etc/apache2/mods-available/ssl.conf

adicionando esta linha:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Li que isso seria suficiente para permitir o grampeamento OCSP .

Eu verifiquei a sintaxe com:

sudo apachectl -t

e estava tudo bem.

No entanto, ao recarregar, o Apache não pode ser iniciado.

EDIT1:

Seguindo este guia .

Dentro do meu arquivo host virtual SSL:

/etc/apache2/sites-available/default-ssl.conf

Eu adicionei estas linhas abaixo meus conjuntos de SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Eu editei este arquivo:

/etc/apache2/mods-available/ssl.conf

adicionando esta linha:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Agora posso reiniciar o Apache sem problemas, no entanto, o OCSP não parece estar funcionando, com base em:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent

O que estou fazendo de errado, é algo relacionado ao meu certificado Let's Encrypt?


Na sua configuração, espero que esteja usando um mapeamento anônimo, para que o nome do arquivo não seja realmente importante. O erro indica que a memória está esgotada - é possível que você tenha algum limite de recursos definido que o impeça de capturar memória compartilhada?
Derobert 5/05

@derobert, por favor, verifique minha atualização
NineCattoRules

3
Parece que deve funcionar - eu tenho uma configuração semelhante em execução e funciona (embora minha configuração de grampeamento seja em todo o servidor, não apenas em um vhost). Eu sugiro mudar LogLevelpara ver se você pode obter o motivo pelo qual o Apache falhou. A única coisa óbvia em que consigo pensar é se você tem um firewall restringindo o tráfego de saída - ele precisa permitir que o OCSP solicite.
Derobert 6/17/17

1
Você tentou alterar o LogLevel para ver se consegue obter uma mensagem de erro do Apache?
Derobert 16/05/19

1
Existem alguns níveis de log entre aviso e depuração . Eu tentaria infoprimeiro.
Derobert 17/05

Respostas:


0

Eu me deparei com isso há um tempo atrás, mas parece que o corrigi.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs concorda: 97,5% (eu tenho que habilitar uma cifra para o meu telefone LG)

edit : SSLLabs concorda: 100% Consertou 100%. Suporte estúpido por telefone e curva.

Na minha situação, eu estava usando a linha comum:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Mudei para o arquivo fullchain.pem e tudo está bem.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Como alternativa, você pode adicionar uma linha ao seu arquivo VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Este é o meu /etc/apache2/conf-enabled/ssl.confarquivo completo . Os únicos itens SSL no arquivo VirtualHost são os SSLEngine, SSLCertificateFilee SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Ainda estou trabalhando no OCSP Must Staple

EDIT1: Got OCSP Must Staple trabalho. É uma opção no cliente certbot:

certbot --must-staple --rsa-key-size 4096

0

Para responder à sua pergunta, estou copiando e colando algumas das apache2.confconfigurações do meu servidor Apache, que fornece criptografia de grau A na minha página com os certificados SSL Let's Encrypt:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Além disso, você pode ver esta resposta para fortalecer o SSLCipherSuite.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.