LINUX.ORG.RU

Включение OCSP Stapling

 ,


0

1

Доброе утро, уважаемые гуру программирования! Очень нужна Ваша помощь! Являюсь владельцем сайта, но совершенно не владею какими-либо специальными техническими познаниями в этой области. До сего момента вполне хватало изучения обсуждений на форумах или официальных сайтах разработчиков функций, которые собирался применить. Недавно перевел сайт на https, настроил сертификат (А+ по ssslabs.com), но оказался совершенно не способен подключить OCSP Stapling. Перед настройкой перевел сервер в ручной режим работы, добавил всяких необходимых заголовков, усилил, так сказать, безопасность ... но при включении строк, необходимых для включения OCSP Stapling сервер отказывается перезагружаться и проявляется ошибка 500. При этом в конфигурационном файле сервера нет раздела <VirtualHost *:443>: все команды вписывал в модуле ssl, «создавал» раздел <VirtualHost *:443> и пытался его «активировать», но безуспешно. Однако этот раздел есть в конфигурационном файле самого сайта. Сайт также переводил в ручной режим работы, пытался подключить OCSP Stapling, но результат всегда одинаков. Смущает то, что в конфигурационном файле сервера указаны пути до двух сертификатов и ключа (путь указан реальный, есть и папки и сами файлы: home/site/etc/ssl/сертификат.crt (или ключ.key), а в таком же файле сайта только один путь до сертификата самого сайта и до ключа и не указан путь до промежуточного сертификата, как-будто его и нет. Причем «отследить» эти пути не знаю как: таких папок в документах сайта найти не могу (etc/ssl/несуществующая папка/сертификат.crt (или ключ.key). Пытался спрашивать поддержку, но по настройке в ручном режиме она «не поддерживает», советует все перевести в режим автоматический. Подскажите, пожалуйста, есть ли какой-то универсальный и максимально простой способ подключить OCSP Stapling на сервере Apache? С уважением,



Последнее исправление: Protector (всего исправлений: 1)

Ну сформируй crt вместе с промежуточным сертификатом. Тебе же наверняка все сертификаты прислали, или хотя бы ссылки на них, когда заказывал?
Сам стаплинг включать не сложно. SSLCACertificateFile и SSLUseStapling внутри секции хоста, SSLStaplingCache вне секции хоста. На nginx ещё проще. Надо просто полную цепочку сертификатов в файле подсунуть.

imul ★★★★★
()
Ответ на: комментарий от imul

PS: в принципе сам стаплинг на рейтинг не повлияет. Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то. Ну потеряет сотню милисекунд на хендшейке. Это сильно критично?

imul ★★★★★
()

возможно промежуточный сертификат лежит в том же файле что и сертификат пользователя.

snaf ★★★★★
()
Ответ на: комментарий от imul

Просто клиенту придётся лезть ещё раз за промежуточным сертификатом куда-то.

это еще почему? При включенном OCSP stappling ответ от OCSP выдаёт сам владелец сертификата а не CA. Как это влияет на промежуточный сертификат?

snaf ★★★★★
()
Ответ на: комментарий от snaf

Я написал косноязычно, а ты понял с точностью до наоборот.

imul ★★★★★
()
Ответ на: комментарий от imul

Добрый день! Благодарю за ответ! Промежуточные сертификаты у меня есть, их прислали вместе с основым сертификатом и ключом. Вроде бы все делаю как делают все: Объединил три промежуточных сертификата, назвал файл bundle.crt, залил его на хостинг в папку ssl, рядом с теми, что ранее загружал через панель хостинга (сайт тогда был в автоматическом режиме), в разделе VirtualHost дописал: SSLCertificateChainFile /etc/ssl/bundle.crt SSLUseStapling on. В модуле SSL вне VirtualHost прописал SSLStaplingCache shmcb:/tmp/stapling_cache(128000) Потом сохранил, перезапускаю - «Ошибка», сервер не перезагружается ... Зверею уже от этой заминки: до этого сам настроил сертификат на А+, заголовки всякие, шифры ... делал все так, как рекомендуется в документации Apache, но эта функция не поддается ... Никак. Сертификат от COMODO, хостинг NIC.RU. Менеджер по сертификатам и хостинг говорят, что все это настраивается, но почему-то не получается.

Protector
() автор топика
Ответ на: комментарий от imul

Не критично, конечно, но если функцию можно включить, то почему бы нет? Да и знать, что на сервере что-то никак не включается, тоже не есть хорошо. Ладно бы совсем не работала и включить нельзя, но вроде бы можно, но никак.

Protector
() автор топика
Ответ на: комментарий от snaf

Добрый день! Не знаю, может быть и вместе, потому что в разделе VirtualHost только две ссылки: на один сертификат и на ключ. Может быть надо вручную перезалить, просмотрев содержимое и разделив их? Но тогда я не знаю, как правильно прописать для них пути: те, что есть, имеют «неотслеживаемые» пути, одна папка лишняя указана, такой у меня нет (между папкой ssl и сертификатом (ключом).

Protector
() автор топика

Так много букв при полном отсутствии логов и конфигов, что даже удивительно.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Прошу прощения за малоинформативность: я всего лишь пользователь, имеющий исключительно гуманитарное образование и пытающийся во всем этом разобраться. Чисто для себя чтобы знать что и к чему. Что такое логи и конфиги и где их взять? :)

Protector
() автор топика
Ответ на: комментарий от imul

Прошу прощения: полная цепочка - это три промежуточных и ещё сертификат сайта туда же вписать? И если да, то в каком порядке их вписывать? И ещё: на хостинге два конфигурационных файла: один сервера, второй - сайта (работает, когда сайт в ручной режим переводишь). Я эти строки в файл сайта вписывал, так как в файле сервера нет раздела VirtualHost 443. А все заголовки безопасности в конф файл сервера добавлял. Так правильно, или надо все в конф.файл сайта переместить? Или продублировать, чтобы записи не отличались (например, у меня разные по ключам шифрования). Для OCSP тоже, ведь, заголовки в можете SSL должны быть? Или ошибаюсь? Заранее благодарен за ответ! С уважением, Владимир

Protector
() автор топика
Ответ на: комментарий от Protector

Мне комодовцы 4 года назад прислали в бандле не тот промежуточный сертификат. Пришлось у них на сайте искать подходящий. Но, это давно было. В апач файл с полной цепочкой подставлять не надо. Это надо для nginx. Главное чтобы полная цепочка сертификатов присутствовала во всех трёх файлах в совокупности.
Команду надо у себя пустить в консоли. В линуксе сразу заработает, в виндос надо openssl.exe пускать и сначала его скачать и поставить.
Если дашь url своего сайта, то это сильно упростит испорченный телефон. А если ещё и конфиг апача покажешь, то будет ещё лучше.
Не боги горшки обжигают, все когда-то были неопытными. Я сейчас тоже кхм занят не тем. Жену из роддома забираю.

imul ★★★★★
()
Ответ на: комментарий от Protector

Где у тебя секция с DocumentRoot? В конфиге сайта? Значит в него и вписывай.

imul ★★★★★
()
Ответ на: комментарий от imul

Примите мои искренние поздравления! Растите большими, здоровыми и счастливыми! Ну и умными: чтобы глупые вопросы на форумах не задавать, как некоторые :))

Protector
() автор топика
Ответ на: комментарий от imul

Михаил, добрый день еще раз! Благодарю Вас за ответы и внимание к моей проблеме!

Ситуация, предполагаю, непростая, все возможные способы, которые нашел в инете, мной уже испробованы, но тщетно.

Если появится время, то вот url - https://www.criminal-attorney.ru

Конфиг нужен весь или модуля ssl достаточно? DocumentRoot есть в конфигурационном файле сайта в разделе VirtualHost 443, и есть в конфигурационном файле сервера, но в разделе VirtualHost 8080

С уважением, Владимир

Protector
() автор топика
Ответ на: комментарий от Protector

А как гуманитарное образование объясняет лишнюю запятую в первом же предложении на главной странице сайта?)
Кроме того, непонятно, нафига простому пользователю лезть в технологию, про которую не всякий админ знает.
Нужен журнал ошибок и конфигурационные файлы веб-сервера, все что есть.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Добрый вечер! Благодарю за ответ! Запятые, пробелы и одна из букв - еще одна моя головная боль: была «заминка» с базой, подчищаю, но это отдельная тема и пока данной проблемой заниматься не планирую (позже займусь обязательно). По самостоятельности: были вопросы несколько месяцев назад, был привлечен специалист, вроде бы все сделал, что я просил, но через пару недель проявились проблемы, с которыми расправился только что (еще не окончательно). Надо было в ходе работ закрыть от индексации одну ссылку (или вообще ее устранить): я об этом, конечно же, не знал, а он сказал, что "... об этом никто не просил...". Появились дубли, все вошли в индекс, полностью вытеснили основные страницы, а потому теперь стараюсь все делать самостоятельно (по возможности). Да и все, что до сего момента сделано, особых навыков вроде бы не требует, прописано повсюду многократно. Хотя и эта проблема таковой изначально не была: прописать несколько строк в конфигурационном файле так, как об этом пишут «в учебниках» ... но все пошло как-то не так ... На самом деле, конечно, необходимо сотрудничество с компетентным программистом, пока «в поиске».

Относительно заданного вопроса лог ошибок содержит такие записи:

[Fri Jan 20 19:05:43.918196 2017] [ssl:emerg] [pid 9842] AH01958: SSLStapling: no stapling cache available

Protector
() автор топика
Ответ на: комментарий от Protector

Certificate chain
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=http://www.criminal-attorney.ru
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

Вот твоя цепочка из трёх сертификатов.

http://crl.comodoca.com/COMODORSADomainValidationSecureServerCA.crl
Вот этот сертификат у тебя должен быть указан как промежуточный.

http://crt.comodoca.com/COMODORSAAddTrustCA.crt
Это корневой

Давай посмотрим настройки твоего сайта в апаче.

imul ★★★★★
()
Ответ на: комментарий от Protector

SSLStapling: no stapling cache available

Значит ты строку для кеша степлинга куда-то не туда вписал.
В любом случае надо смотреть конфиг. Без него только гадание.

imul ★★★★★
()
Ответ на: комментарий от imul

Михаил, доброе утро!

Благодарю Вас за помощь и внимание к моей проблеме!

Успехов никаких: самостоятельно проблему решить не получается, а выкладывать в открытом доступе настройки своего сервера тоже опасаюсь.

Решил пока забыть об этих вопросах, достаточно уже намучался :)

Но работы запланировано много: есть вопросы по базе (писал уже об этом), надо настройки сайта с сертификатом довести «до ума», еще надо изменить mime тип одного файла, исправить «глюк» в админке, решить проблему с оптимизацией изображений (не оптимизируются, собственно, никак); рано или поздно этим все равно надо будет заниматься ...

Но что-то «ушатала» уже меня вся эта кипучая деятельность, третий месяц все исправляю, да исправляю ...

Возьму пока «отпуск», основная работа требует внимания.

Как возобновлю процесс, реанимирую эту тему.

С уважением,

Владимир

Protector
() автор топика
Ответ на: комментарий от imul

Михаил, добрый день!

Прошу прощения за беспокойство и еще раз благодарю за помощь!

Это свершилось: удалось подключить OCSP Stapling.

Проблема была банальной: надо было немного адаптировать путь до кеша. Вы оказались правы, когда сказали, что проблема именно со строкой кэша.

Методом «подстановки» внезапно «заработало»!

Проблема решена, эту тему можно закрывать.

Еще раз спасибо!

P.S.: Желаю много радости Вашей семье!

Protector
() автор топика
Ответ на: комментарий от Protector

Поздравляю.
И вам всего хорошего.

PS: последний штрих. https://www.ssllabs.com/ssltest/analyze.html?d=criminal-attorney.ru значится что

HSTS Preloading Not in: Chrome Edge Firefox IE

Но, https://hstspreload.org/?domain=criminal-attorney.ru говорит, что

Status: criminal-attorney.ru is pending submission to the preload list.

Так что есть ещё куда «развивать» сайт. :)

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 3)
Ответ на: комментарий от imul

Михаил, добрый день!

Спасибо, за ответ: по preload я вчера заявку отправил, теперь жду результата; вдруг повезёт :)

А по сайту ещё есть масса нерешенных проблем, в том числе те, о которых упоминал. С Вашего позволения буду понемногу «беспокоить» вопросами.

С уважением, Владимир

Protector
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.