আসুন এনক্রিপ্ট করুন - অ্যাপাচি - ওসিএসপি স্ট্যাপলিং

আমি আমার অ্যাপাচি সার্ভারে ওসিএসপি স্ট্যাপলিং সক্ষম করতে চাই । আমি ব্যাবহার করছি:

• সার্ভার: অ্যাবাচি / 2.4.7 উবুন্টুতে
• শংসাপত্র: আসুন এনক্রিপ্ট করুন

ফাইলটিতে:

/etc/apache2/sites-available/default-ssl.conf

আমি আরো বললাম:

SSLUseStapling on

তারপরে, আমি সম্পাদনা করেছি:

/etc/apache2/mods-available/ssl.conf

এই লাইন যুক্ত:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

আমি পড়েছি ওসিএসপি স্টাপলিং সক্ষম করতে এটি যথেষ্ট হবে ।

আমি এর সাথে সিনট্যাক্সটি পরীক্ষা করেছি:

sudo apachectl -t

এবং এটা ঠিক ছিল।

তবে পুনরায় লোড করার পরে, অ্যাপাচি শুরু করা যাবে না can't

EDIT1:

এই গাইড অনুসরণ করে ।

আমার এসএসএল ভার্চুয়াল হোস্ট ফাইলের ভিতরে:

/etc/apache2/sites-available/default-ssl.conf

আমি আমার সেট নিচে এই লাইন যোগ SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

আমি তখন এই ফাইলটি সম্পাদনা করেছি:

/etc/apache2/mods-available/ssl.conf

এই লাইন যুক্ত:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

আমি এখন সমস্যা ছাড়াই অ্যাপাচি পুনরায় চালু করতে পারি, তবে ওসিএসপি মনে হচ্ছে না, এর ভিত্তিতে:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

আমি কী ভুল করছি, এটি আমার লেটস এনক্রিপ্ট শংসাপত্রের সাথে সম্পর্কিত কি?

আমি নিজেই কিছুক্ষণ আগে এটিকে ছুঁড়েছিলাম, তবে মনে হয় এটি ঠিক করে ফেলেছি।

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

এসএসএল্যাবগুলি সম্মত: 97.5% (আমাকে আমার এলজি ফোনের জন্য একটি সিফার সক্ষম করতে হবে)

সম্পাদনা : এসএসএল্যাবগুলি সম্মত: 100% স্থির হয়েছে 100%। বোকা ফোন এবং কার্ভ সমর্থন।

আমার পরিস্থিতিতে, আমি সাধারণ লাইনটি ব্যবহার করছিলাম:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

আমি ফুলচেইন.পিএম ফাইলটিতে পরিবর্তন করেছি এবং সব ভাল।

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

বিকল্পভাবে, আপনি আপনার ভার্চুয়ালহোস্ট ফাইলটিতে একটি লাইন যুক্ত করতে পারেন

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

এটি আমার সম্পূর্ণ /etc/apache2/conf-enabled/ssl.confফাইল। ভার্চুয়ালহোস্ট ফাইলটিতে কেবলমাত্র এসএসএল আইটেমগুলি হ'ল SSLEngine, SSLCertificateFileএবং SSLCertificateKeyFile।

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

আমি এখনও ওসিএসপি মাস্ট স্ট্যাপল নিয়ে কাজ করছি

EDIT1: পেয়েছেন OCSP আবশ্যক প্রধানতম কাজ। এটি সার্টবোট ক্লায়েন্টের একটি বিকল্প:

certbot --must-staple --rsa-key-size 4096

আপনার প্রশ্নের উত্তর দেওয়ার জন্য, আমি apache2.confআমার অ্যাপাচি সার্ভারের কিছু সেটিংস অনুলিপি করে আটকিয়ে দিচ্ছি, যা লেটস এনক্রিপ্ট এসএসএল শংসাপত্র সহ আমার পৃষ্ঠায় গ্রেড একটি এনক্রিপশন সরবরাহ করে:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

অতিরিক্তভাবে আপনি জোরদার করার জন্য এই উত্তরটি দেখতে পাবেন SSLCipherSuite।