Включение OCSP Stapling

Ну сформируй crt вместе с промежуточным сертификатом. Тебе же наверняка все сертификаты прислали, или хотя бы ссылки на них, когда заказывал?
Сам стаплинг включать не сложно. SSLCACertificateFile и SSLUseStapling внутри секции хоста, SSLStaplingCache вне секции хоста. На nginx ещё проще. Надо просто полную цепочку сертификатов в файле подсунуть.

PS: в принципе сам стаплинг на рейтинг не повлияет. Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то. Ну потеряет сотню милисекунд на хендшейке. Это сильно критично?

возможно промежуточный сертификат лежит в том же файле что и сертификат пользователя.

Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то.

это еще почему? При включенном OCSP stappling ответ от OCSP выдаёт сам владелец сертификата а не CA. Как это влияет на промежуточный сертификат?

Я написал косноязычно, а ты понял с точностью до наоборот.

Покажи вывод команды:
openssl s_client -connect твойсайт:443 -status

Добрый день! Благодарю за ответ! Промежуточные сертификаты у меня есть, их прислали вместе с основым сертификатом и ключом. Вроде бы все делаю как делают все: Объединил три промежуточных сертификата, назвал файл bundle.crt, залил его на хостинг в папку ssl, рядом с теми, что ранее загружал через панель хостинга (сайт тогда был в автоматическом режиме), в разделе VirtualHost дописал: SSLCertificateChainFile /etc/ssl/bundle.crt SSLUseStapling on. В модуле SSL вне VirtualHost прописал SSLStaplingCache shmcb:/tmp/stapling_cache(128000) Потом сохранил, перезапускаю - «Ошибка», сервер не перезагружается ... Зверею уже от этой заминки: до этого сам настроил сертификат на А+, заголовки всякие, шифры ... делал все так, как рекомендуется в документации Apache, но эта функция не поддается ... Никак. Сертификат от COMODO, хостинг NIC.RU. Менеджер по сертификатам и хостинг говорят, что все это настраивается, но почему-то не получается.

Не критично, конечно, но если функцию можно включить, то почему бы нет? Да и знать, что на сервере что-то никак не включается, тоже не есть хорошо. Ладно бы совсем не работала и включить нельзя, но вроде бы можно, но никак.

Добрый день! Не знаю, может быть и вместе, потому что в разделе VirtualHost только две ссылки: на один сертификат и на ключ. Может быть надо вручную перезалить, просмотрев содержимое и разделив их? Но тогда я не знаю, как правильно прописать для них пути: те, что есть, имеют «неотслеживаемые» пути, одна папка лишняя указана, такой у меня нет (между папкой ssl и сертификатом (ключом).

Куда эту команду надо вводить?

Так много букв при полном отсутствии логов и конфигов, что даже удивительно.

Прошу прощения за малоинформативность: я всего лишь пользователь, имеющий исключительно гуманитарное образование и пытающийся во всем этом разобраться. Чисто для себя чтобы знать что и к чему. Что такое логи и конфиги и где их взять? :)

Прошу прощения: полная цепочка - это три промежуточных и ещё сертификат сайта туда же вписать? И если да, то в каком порядке их вписывать? И ещё: на хостинге два конфигурационных файла: один сервера, второй - сайта (работает, когда сайт в ручной режим переводишь). Я эти строки в файл сайта вписывал, так как в файле сервера нет раздела VirtualHost 443. А все заголовки безопасности в конф файл сервера добавлял. Так правильно, или надо все в конф.файл сайта переместить? Или продублировать, чтобы записи не отличались (например, у меня разные по ключам шифрования). Для OCSP тоже, ведь, заголовки в можете SSL должны быть? Или ошибаюсь? Заранее благодарен за ответ! С уважением, Владимир

Мне комодовцы 4 года назад прислали в бандле не тот промежуточный сертификат. Пришлось у них на сайте искать подходящий. Но, это давно было. В апач файл с полной цепочкой подставлять не надо. Это надо для nginx. Главное чтобы полная цепочка сертификатов присутствовала во всех трёх файлах в совокупности.
Команду надо у себя пустить в консоли. В линуксе сразу заработает, в виндос надо openssl.exe пускать и сначала его скачать и поставить.
Если дашь url своего сайта, то это сильно упростит испорченный телефон. А если ещё и конфиг апача покажешь, то будет ещё лучше.
Не боги горшки обжигают, все когда-то были неопытными. Я сейчас тоже кхм занят не тем. Жену из роддома забираю.

Где у тебя секция с DocumentRoot? В конфиге сайта? Значит в него и вписывай.

Примите мои искренние поздравления! Растите большими, здоровыми и счастливыми! Ну и умными: чтобы глупые вопросы на форумах не задавать, как некоторые :))

Спасибо, но лучше url и конфиг. От этого будет больше пользы.

Михаил, добрый день еще раз! Благодарю Вас за ответы и внимание к моей проблеме!

Ситуация, предполагаю, непростая, все возможные способы, которые нашел в инете, мной уже испробованы, но тщетно.

Если появится время, то вот url - https://www.criminal-attorney.ru

Конфиг нужен весь или модуля ssl достаточно? DocumentRoot есть в конфигурационном файле сайта в разделе VirtualHost 443, и есть в конфигурационном файле сервера, но в разделе VirtualHost 8080

С уважением, Владимир

А как гуманитарное образование объясняет лишнюю запятую в первом же предложении на главной странице сайта?)
Кроме того, непонятно, нафига простому пользователю лезть в технологию, про которую не всякий админ знает.
Нужен журнал ошибок и конфигурационные файлы веб-сервера, все что есть.

Добрый вечер! Благодарю за ответ! Запятые, пробелы и одна из букв - еще одна моя головная боль: была «заминка» с базой, подчищаю, но это отдельная тема и пока данной проблемой заниматься не планирую (позже займусь обязательно). По самостоятельности: были вопросы несколько месяцев назад, был привлечен специалист, вроде бы все сделал, что я просил, но через пару недель проявились проблемы, с которыми расправился только что (еще не окончательно). Надо было в ходе работ закрыть от индексации одну ссылку (или вообще ее устранить): я об этом, конечно же, не знал, а он сказал, что "... об этом никто не просил...". Появились дубли, все вошли в индекс, полностью вытеснили основные страницы, а потому теперь стараюсь все делать самостоятельно (по возможности). Да и все, что до сего момента сделано, особых навыков вроде бы не требует, прописано повсюду многократно. Хотя и эта проблема таковой изначально не была: прописать несколько строк в конфигурационном файле так, как об этом пишут «в учебниках» ... но все пошло как-то не так ... На самом деле, конечно, необходимо сотрудничество с компетентным программистом, пока «в поиске».

Относительно заданного вопроса лог ошибок содержит такие записи:

[Fri Jan 20 19:05:43.918196 2017] [ssl:emerg] [pid 9842] AH01958: SSLStapling: no stapling cache available

Certificate chain
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=http://www.criminal-attorney.ru
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

Вот твоя цепочка из трёх сертификатов.

http://crl.comodoca.com/COMODORSADomainValidationSecureServerCA.crl
Вот этот сертификат у тебя должен быть указан как промежуточный.

http://crt.comodoca.com/COMODORSAAddTrustCA.crt
Это корневой

Давай посмотрим настройки твоего сайта в апаче.

SSLStapling: no stapling cache available

Значит ты строку для кеша степлинга куда-то не туда вписал.
В любом случае надо смотреть конфиг. Без него только гадание.

Как успехи?

Михаил, доброе утро!

Благодарю Вас за помощь и внимание к моей проблеме!

Успехов никаких: самостоятельно проблему решить не получается, а выкладывать в открытом доступе настройки своего сервера тоже опасаюсь.

Решил пока забыть об этих вопросах, достаточно уже намучался :)

Но работы запланировано много: есть вопросы по базе (писал уже об этом), надо настройки сайта с сертификатом довести «до ума», еще надо изменить mime тип одного файла, исправить «глюк» в админке, решить проблему с оптимизацией изображений (не оптимизируются, собственно, никак); рано или поздно этим все равно надо будет заниматься ...

Но что-то «ушатала» уже меня вся эта кипучая деятельность, третий месяц все исправляю, да исправляю ...

Возьму пока «отпуск», основная работа требует внимания.

Как возобновлю процесс, реанимирую эту тему.

С уважением,

Владимир

Михаил, добрый день!

Прошу прощения за беспокойство и еще раз благодарю за помощь!

Это свершилось: удалось подключить OCSP Stapling.

Проблема была банальной: надо было немного адаптировать путь до кеша. Вы оказались правы, когда сказали, что проблема именно со строкой кэша.

Методом «подстановки» внезапно «заработало»!

Проблема решена, эту тему можно закрывать.

Еще раз спасибо!

P.S.: Желаю много радости Вашей семье!

Поздравляю.
И вам всего хорошего.

PS: последний штрих. https://www.ssllabs.com/ssltest/analyze.html?d=criminal-attorney.ru значится что

HSTS Preloading Not in: Chrome Edge Firefox IE

Но, https://hstspreload.org/?domain=criminal-attorney.ru говорит, что

Status: criminal-attorney.ru is pending submission to the preload list.

Так что есть ещё куда «развивать» сайт. :)

Михаил, добрый день!

Спасибо, за ответ: по preload я вчера заявку отправил, теперь жду результата; вдруг повезёт :)

А по сайту ещё есть масса нерешенных проблем, в том числе те, о которых упоминал. С Вашего позволения буду понемногу «беспокоить» вопросами.

С уважением, Владимир