Encriptemos - Apache - Grapado OCSP

11

Me gustaría habilitar el engrapado OCSP en mi servidor Apache. Estoy usando:

  • Servidor: Apache / 2.4.7 en Ubuntu
  • Certificado: Encriptemos

Al archivo:

/etc/apache2/sites-available/default-ssl.conf

Yo añadí:

SSLUseStapling on

Entonces, edité:

/etc/apache2/mods-available/ssl.conf

agregando esta línea:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Leí que esto sería suficiente para habilitar el engrapado OCSP .

Verifiqué la sintaxis con:

sudo apachectl -t

Y estuvo bien.

Sin embargo, al recargar, Apache no puede iniciarse.

EDITAR1:

Siguiendo esta guía .

Dentro de mi archivo de host virtual SSL:

/etc/apache2/sites-available/default-ssl.conf

He añadido estas líneas por debajo de mis juegos de SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Luego edité este archivo:

/etc/apache2/mods-available/ssl.conf

agregando esta línea:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Ahora puedo reiniciar Apache sin problemas, sin embargo, OCSP no parece estar funcionando, basado en:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

¿Qué estoy haciendo mal? ¿Es algo relacionado con mi certificado Let's Encrypt?

ssl apache-virtualhost letsencrypt NineCattoRules
fuente
En su configuración, espero que esté usando una asignación anónima, por lo que el nombre del archivo en realidad no importa. El error dice que se está quedando sin memoria: ¿es posible que tenga algún límite de recursos establecido que evite que tome memoria compartida?
derobert
@derobert por favor revise mi actualización
NineCattoRules
3
Parece que debería funcionar: tengo una configuración similar ejecutándose y funciona (aunque mi configuración de grapado es para todo el servidor, no solo un vhost). Sugeriría cambiar LogLevelpara ver si puede obtener la razón por la que falló en Apache. Lo único obvio que se me ocurre es que si tiene un firewall que restringe el tráfico saliente, debe dejar pasar la solicitud de OCSP.
derobert
1
¿Intentó cambiar LogLevel para ver si puede obtener un mensaje de error de Apache?
derobert
1
Hay algunos niveles de registro entre advertir y depurar . Lo intentaría infoprimero.
derobert

Respuestas:

0

Me encontré con esto hace un tiempo, pero parece que lo solucioné.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs está de acuerdo: 97.5% (tengo que habilitar un cifrado para mi teléfono LG)

editar : SSLLabs está de acuerdo: 100% Se solucionó al 100%. Estúpido soporte de teléfono y curva.

En mi situación, estaba usando la línea común:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Cambié al archivo fullchain.pem y todo está bien. 

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Alternativamente, puede agregar una línea a su archivo VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Este es mi /etc/apache2/conf-enabled/ssl.confarchivo completo . Los únicos elementos SSL en el archivo VirtualHost son SSLEngine, SSLCertificateFiley SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Todavía estoy trabajando en OCSP Debe Grapar

EDIT1: Got OCSP Must grapas de trabajo. Es una opción en el cliente certbot:

certbot --must-staple --rsa-key-size 4096
Peter Berbec
fuente
0

Para responder a su pregunta, estoy copiando y pegando algunas de las apache2.confconfiguraciones de mi servidor Apache, que proporciona encriptación de grado A en mi página con certificados SSL Let's Encrypt:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Además, puede ver esta respuesta para fortalecer el SSLCipherSuite.

ncomputadoras
fuente