Я сам столкнулся с этим некоторое время назад, но, кажется, исправил это.
$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)
SSLLabs соглашается :97,5% (Мне нужно включить шифрование для моего телефона LG)
редактировать:SSLLabs соглашается :100% Исправлено на 100%. Тупой телефон и кривая поддержка.
В моей ситуации я использовал общую линию:
SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem
Я перешел на файл fullchain.pem, и все в порядке.
SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem
Кроме того, вы можете добавить строку в свой файл VirtualHost
SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem
Это мой полный /etc/apache2/conf-enabled/ssl.conf
файл. Единственными элементами SSL в файле VirtualHost являются SSLEngine
, SSLCertificateFile
и SSLCertificateKeyFile
.
SSLProtocol -all +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd DHParameters "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
SSLUseStapling On
SSLStaplingCache "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire
Я все еще работаю над OCSP Must Staple
EDIT1:Работает OCSP Must Staple . Это опция в клиенте certbot :
.
certbot --must-staple --rsa-key-size 4096