On 09.09.2015 20:56, Mișu Moldovan wrote: > On 09.09.2015 20:49, Alex 'CAVE' Cernat wrote: >> On 9/9/2015 8:10 PM, Mișu Moldovan wrote: >>> >>> Săr'mâna! Am încercat oferta chinezilor pentru un site căruia îi >>> expirase ieri certificatul self-signed și chiar e gratuită, mai nou >>> pentru 3 ani… Cu ocazia asta am bifat și un A+ la testul SSL de la >>> Qualis, dat fiind că-mi permit să ignor IE pe XP și Java 6. :-] >> sa nu uiti sa bagi si ocsp stapling, daca poti si vrei sa-ti mearga si >> bine, se cam simtea delay-ul fara >> oricum, daca vrei ceva cat de cat minim respectabil, merge un 5$ pe an, >> dar pentru balarii personale, era mult prea mult in cazul meu >> ti-ai bagat si HSTS ? ca altfel nu cred ca pupi A+ pe ssltest > > N-am simțit deloc întârzieri, o fi fost în formă serverul lor OCSP azi. > Dar da, am activat ambele, și OCSP, și HSTS. Just for fun! :-]
Să revin cu un pic de feedback după două săptămâni în producție cu OCSP
stapling pentru un certificat gratuit WoSign. Într-adevăr, e cam
problematic serverul lor OCSP. Și nu e îndeajuns să activezi OCSP
stapling, trebuie luate la pilă opțiunile… Momentan am mai adăugat, pe
lângă opțiunea inițială, următoarele:
SSLUseStapling on
+ # The default timeout is 5.
+ SSLStaplingResponderTimeout 10
+ # Default cache value is 3600.
+ SSLStaplingStandardCacheTimeout 7200
+ # Do not pass errors to clients.
+ SSLStaplingReturnResponderErrors off
Rezultatul este că uneori Apache nu dă niciun răspuns OCSP și poate
părea că nici nu e activat OCSP stapling pe server, iar în rezultatele
testului de la SSLlabs apare:
*OCSP stapling* No.
Dacă verific cu „openssl s_client -connect $SERVER:$PORT -tls1_2
-tlsextdebug -status </dev/null” primesc:
OCSP response: no response sent
În mod normal, cu OCSP stapling, primesc:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL
OCSP Responder(G2)
Produced At: Sep 24 11:32:24 2015 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B
Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7
Serial Number: 2666A2273E6C672D7CE5BFECA2244151
Cert Status: good
This Update: Sep 24 11:32:24 2015 GMT
Next Update: Sep 26 11:32:24 2015 GMT
(și apoi semnătura și certificatele…)
Fără opțiunile noi, în caz de probleme, primeam:
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: trylater (0x3)
======================================
Iar în logurile Apache aveam „AH01980: bad response from OCSP server:
502 Bad Gateway”. Cu opțiunile noi am mai văzut eroarea în continuare în
loguri, dar nu se mai plâng clienții, pentru că le merge lor direct
verificarea, se pare. În fine, am observat că doar clienții Mozilla îs
problematici în privința asta. Dacă are cineva o soluție mai bună, îs
ochi și urechi. Mulțam!
signature.asc
Description: OpenPGP digital signature
_______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
