Вопросы Теги

Let's Encrypt - Apache - Сшивание OCSP

Другое возможное решение: 

IFS=$'\n' read -d '' -r -a colors < 'data.txt'; unset IFS;

for i in $(<cntl.txt); do
        echo ${colors[i-1]} 
done

Строка IFS устанавливает внутренний разделитель файлов как новую строку и вставляет каждую строку из data.txt в массив. После этого вы перебираете строки в cntl.txt и выводите из него элементы массива с заданным индексом (минус 1, потому что вы начинаете свой data.txt с 1, а не с 0, иначе это было бы ненужно).

11
24.09.2017, 10:47
2 ответа

Чтобы ответить на ваш вопрос, я копирую и вставляю некоторые из apache2.confнастроек моего сервера Apache, который обеспечивает шифрование класса A на моей странице с SSL-сертификатами Let's Encrypt:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Кроме того, вы можете увидеть этот ответ для усиления SSLCipherSuite.

0
27.01.2020, 19:59

Я сам столкнулся с этим некоторое время назад, но, кажется, исправил это.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs соглашается :97,5% (Мне нужно включить шифрование для моего телефона LG)

редактировать:SSLLabs соглашается :100% Исправлено на 100%. Тупой телефон и кривая поддержка.

В моей ситуации я использовал общую линию:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Я перешел на файл fullchain.pem, и все в порядке. 

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Кроме того, вы можете добавить строку в свой файл VirtualHost 

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Это мой полный /etc/apache2/conf-enabled/ssl.confфайл. Единственными элементами SSL в файле VirtualHost являются SSLEngine, SSLCertificateFileи SSLCertificateKeyFile. 

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Я все еще работаю над OCSP Must Staple

EDIT1:Работает OCSP Must Staple . Это опция в клиенте certbot :

. 
certbot --must-staple --rsa-key-size 4096
1
27.01.2020, 19:59

Теги

Похожие вопросы