आइए एनक्रिप्ट करें - Apache - OCSP स्टेपलिंग

मैं अपने Apache सर्वर में OCSP स्टेपलिंग को सक्षम करना चाहूंगा । मैं उपयोग कर रहा हूँ:

• सर्वर: उबंटू पर अपाचे / 2.4.7
• प्रमाणपत्र: आइए एनक्रिप्ट करें

फ़ाइल के लिए:

/etc/apache2/sites-available/default-ssl.conf

मैंने कहा:

SSLUseStapling on

फिर, मैंने संपादित किया:

/etc/apache2/mods-available/ssl.conf

इस पंक्ति को जोड़ना:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

मैंने पढ़ा कि यह OCSP स्टेपलिंग को सक्षम करने के लिए पर्याप्त होगा ।

मैंने इसके साथ वाक्य रचना की जाँच की:

sudo apachectl -t

और यह ठीक था।

हालाँकि, पुनः लोड करने पर, अपाचे शुरू नहीं हो सकता है।

EDIT1:

इस गाइड के बाद ।

मेरे SSL वर्चुअल होस्ट फ़ाइल के अंदर:

/etc/apache2/sites-available/default-ssl.conf

मैं की मेरी सेट नीचे इन पंक्तियों जोड़ा SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

मैंने तब यह फ़ाइल संपादित की:

/etc/apache2/mods-available/ssl.conf

इस पंक्ति को जोड़ना:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

मैं अब अपाचे को समस्याओं के बिना फिर से शुरू कर सकता हूं, हालांकि, OCSP काम नहीं करता है, पर आधारित है:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

मैं क्या गलत कर रहा हूं, क्या यह मेरे लेट्स एनक्रिप्ट प्रमाण पत्र से संबंधित है?

मैं खुद कुछ समय पहले इसमें भाग गया था, लेकिन मुझे लगता है कि यह तय हो गया है।

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs सहमत हैं: 97.5% (मुझे अपने एलजी फोन के लिए सिफर सक्षम करना होगा)

संपादित करें : SSLLabs सहमत हैं: 100% 100% तय किया गया। बेवकूफ फोन और वक्र समर्थन।

मेरी स्थिति में, मैं सामान्य लाइन का उपयोग कर रहा था:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

मैं फुलचिन.पेम फ़ाइल में बदल गया और सब अच्छा है।

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

वैकल्पिक रूप से, आप अपनी VirtualHost फ़ाइल में एक पंक्ति जोड़ सकते हैं

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

यह मेरी पूरी /etc/apache2/conf-enabled/ssl.confफाइल है। VirtualHost फ़ाइल में केवल SSL आइटम हैं SSLEngine, SSLCertificateFileऔर SSLCertificateKeyFile।

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

मैं अभी भी OCSP स्टेपल पर काम कर रहा हूँ

EDIT1: गॉट OCSP अवश्य स्टेपल काम कर रहे। यह सर्टिफिकेट क्लाइंट में एक विकल्प है:

certbot --must-staple --rsa-key-size 4096

आपके प्रश्न का उत्तर देने के लिए, मैं apache2.confअपने अपाचे सर्वर की कुछ सेटिंग्स को कॉपी और पेस्ट कर रहा हूं , जो मेरे पेज पर ग्रेड ए एन्क्रिप्शन प्रदान करते हैं जो एसएसएल प्रमाणपत्रों को एन्क्रिप्ट करते हैं:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

इसके अतिरिक्त आप इस जवाब को मजबूत करने के लिए देख सकते हैं SSLCipherSuite।