Let's Encrypt - Apache - Agrafage OCSP

Je voudrais activer l' agrafage OCSP sur mon serveur Apache. J'utilise:

• Serveur: Apache / 2.4.7 sur Ubuntu
• Certificat: Let's Encrypt

Vers le fichier:

/etc/apache2/sites-available/default-ssl.conf

J'ai ajouté:

SSLUseStapling on

Ensuite, j'ai édité:

/etc/apache2/mods-available/ssl.conf

ajout de cette ligne:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

J'ai lu que ce serait suffisant pour activer l'agrafage OCSP .

J'ai vérifié la syntaxe avec:

sudo apachectl -t

et c'était OK.

Cependant, lors du rechargement, Apache ne peut pas démarrer.

EDIT1:

Suivre ce guide .

Dans mon fichier d'hôte virtuel SSL:

/etc/apache2/sites-available/default-ssl.conf

J'ai ajouté ces lignes ci - dessous mes ensembles de SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

J'ai ensuite édité ce fichier:

/etc/apache2/mods-available/ssl.conf

ajout de cette ligne:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Je peux maintenant redémarrer Apache sans problème, cependant, OCSP ne semble pas fonctionner, basé sur:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

Qu'est-ce que je fais mal, est-ce lié à mon certificat Let's Encrypt?

Je l'ai moi-même rencontré il y a quelque temps, mais il semble que je l'ai résolu.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs est d'accord: 97,5% (je dois activer un chiffrement pour mon téléphone LG)

modifier : SSLLabs accepte: 100% 100% obtenu fixe. Support de téléphone et de courbe stupide.

Dans ma situation, j'utilisais la ligne commune:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

J'ai changé pour le fichier fullchain.pem et tout va bien.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Alternativement, vous pouvez ajouter une ligne à votre fichier VirtualHost

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Ceci est mon /etc/apache2/conf-enabled/ssl.confdossier complet . Les seuls éléments SSL dans le fichier VirtualHost sont les SSLEngine, SSLCertificateFileet SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Je travaille toujours sur OCSP Must Staple

EDIT1: Got OCSP Must Staple fonctionne. C'est une option dans le client certbot:

certbot --must-staple --rsa-key-size 4096

Pour répondre à votre question, je copie et colle certains des apache2.confparamètres de mon serveur Apache, qui fournit un cryptage de niveau A sur ma page avec les certificats SSL Let's Encrypt:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

De plus, vous pouvez voir cette réponse pour renforcer le SSLCipherSuite.