OCSP Stapling aktivieren

[pummelbaer]

Hallo zusammen,

ich habe Probleme mit der Aktivierung von OSCP-Stapling
Gebe ich in der ssl.conf folgendes ein:

Code: Select all

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Wird OSCP-Stapling nicht aktiviert.

Wie muss ich das denn richtig aktivieren???


Grüße Pummel

[Blackmoon]

Hallo Pummel,

Wird OCSP-Stapling nicht aktiviert.

Enthält das betroffene SSL-Zertifikat auch eine OCSP URl?
Wie has du OCSP für die Webseite getestet?

/Dani

[derFu]

Hallo!

Code: Select all

SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Wird OSCP-Stapling nicht aktiviert.

Wie muss ich das denn richtig aktivieren???

Versuch mal

Code: Select all

    SSLStaplingCache        shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)

Edit: So ist es unter Debian 9 und 10. Ubuntu wird aber ähnlich sein.

[pummelbaer]

@Derfu

Versuch mal

Code: Alles auswählen

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)

Edit: So ist es unter Debian 9 und 10. Ubuntu wird aber ähnlich sein.

Das ist richtig, egal ob mit meiner Einstellung oder mit der von Keyhelp vordiffinierten Standardeinstellung, wenn man die Ausargumentierung weg nimmt.


@Dani

Enthält das betroffene SSL-Zertifikat auch eine OCSP URl?

Revocation information CRL, OCSP
CRL: http://crl2.alphassl.com/gs/gsalphasha2g2.crl
OCSP: http://ocsp2.globalsign.com/gsalphasha2g2

Wie has du OCSP für die Webseite getestet?

Mit Qualys SSL Lab habe ich das getestet. Aber irgendwie will das nicht.
Und OSCP-Stapling wird von meinem CA-Anbieter unterstützt, er meinte
der Server ist falsch konfiguriert worden...


Gruß Pummel

[Blackmoon]

Und OSCP-Stapling wird von meinem CA-Anbieter unterstützt, er meinte der Server ist falsch konfiguriert worden...

Passt, das beweisen auch die beiden URl von dir.

Mit Qualys SSL Lab habe ich das getestet. Aber irgendwie will das nicht.

Hast du nach der Anpassung der Konfiguration den Service auch neu gestartet?
Ist evtl. zwischen KeyHelp-Server un der Außenwelt noch eine Firewall?

/Dani

[pummelbaer]

@Blackmoon,

Erst mal ein Hallo,

Hast du nach der Anpassung der Konfiguration den Service auch neu gestartet?

Ja das habe ich gemacht, direkt nach dem speichern...
Beim ersten Neustart hatte Qualys mich erst mal von A+ auf A, wegen eines vergessenen Slash degradiert.
Gut nachgeholt und neu gespeichert mit Serverneustart...
A+ Wieder zurück geholt, aber OCSP unverändert.

OCSP Must Staple No <- Unter Server Key and Certificate #1

OCSP stapling Yes<- Unter Protokol Details

Ist evtl. zwischen KeyHelp-Server un der Außenwelt noch eine Firewall?

Auf meinem Server keine Firewall z.Zt. eingerichtet. Ich denke mal "Netcup" wird sicherlich eine dazwischen geschaltet haben.
Aber die sollte kein Hindernis sein.
Wenn ich ein letsencrypt Cert einrichte dann funzt dit ja ooch...

Jedenfalls sollte er OCSP aber machen müssen....
Und das bekomme ich irgendwie nüscht hin.


Gruß Pummel