OCSP Stapling
Re: OCSP Stapling
Конечно, не вопрос - https://yadi.sk/d/WRg9ybPBrGovfSPEC1AL1ST wrote:А вы можете свой трастед файл дать? Я подставлю, по сути они одинаковы же и в общем доступе. И попробуем.
только он для wosign, а у вас вроде startssl
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Да, так у меня и то и то, как в гайде на хабре, там он и со старта брал и с вусайна. Надо как то не так?skurudo wrote:Конечно, не вопрос - https://yadi.sk/d/WRg9ybPBrGovfSPEC1AL1ST wrote:А вы можете свой трастед файл дать? Я подставлю, по сути они одинаковы же и в общем доступе. И попробуем.
только он для wosign, а у вас вроде startssl
Re: OCSP Stapling
Свои перетащил на wosing и не стал брать со старта, когда новый генерировал.SPEC1AL1ST wrote:Да, так у меня и то и то, как в гайде на хабре, там он и со старта брал и с вусайна. Надо как то не так?
PS: Примеры своих скинул в ПМ.
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Еще одна странность вылезла. Хочу проверить стаплинг командой
echo QUIT | openssl s_client -connect eve-ua.com:443 -tls1_2 -tlsextdebug -status | grep " OCSP Response Status"
а вылазит ответ с другим доменом
Почему?)))
echo QUIT | openssl s_client -connect eve-ua.com:443 -tls1_2 -tlsextdebug -status | grep " OCSP Response Status"
а вылазит ответ с другим доменом
Code: Select all
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Domain Validation CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = www.gazetier.ru
verify return:1
DONE
Re: OCSP Stapling
Потому что OCSP Stapling и SNI довольно странно себя ведут на одном IP.SPEC1AL1ST wrote:Почему?)))
О чем были и жалобы на SSLLab'овых форумах, но это ограничение скорее технологическое.
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Так даже если я открываю свой айпи через https - я об этом писал уже. Почему то открывается тоже Газетир. Не в сиаплинге дело тут я думаю.skurudo wrote:Потому что OCSP Stapling и SNI довольно странно себя ведут на одном IP.SPEC1AL1ST wrote:Почему?)))
О чем были и жалобы на SSLLab'овых форумах, но это ограничение скорее технологическое.
Re: OCSP Stapling
Семь бед, один rebuild web. (для самопроверки)SPEC1AL1ST wrote:Так даже если я открываю свой айпи через https - я об этом писал уже. Почему то открывается тоже Газетир. Не в сиаплинге дело тут я думаю.
А чтобы не открывалось того, чего нет, я бы предложил добавить такое в /etc/nginx/conf.d/ваш-айпи.conf
Code: Select all
server {
listen вашайпи:80 default;
server_name _;
access_log /dev/null;
error_log /dev/null;
return 444;
}
server {
listen вашайпи:443 ssl spdy;
server_name _;
ssl on;
ssl_certificate /home/admin/conf/web/ssl.domain.ru.pem;
ssl_certificate_key /home/admin/conf/web/ssl.domain.ru.key;
access_log /dev/null;
error_log /dev/null;
return 444;
}
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
2016/05/16 11:30:28 [error] 1364#1364: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
а что значит эта ошибка? Куда смотреть?
А в консоли при openssl s_client -connect eve-ua.com:443 -status
OCSP response: no response sent
а что значит эта ошибка? Куда смотреть?
А в консоли при openssl s_client -connect eve-ua.com:443 -status
OCSP response: no response sent
Re: OCSP Stapling
Смотреть отзывается ли ocsp.startssl.com для начала. Не смог проверить с помощью респондера валидность.SPEC1AL1ST wrote:2016/05/16 11:30:28 [error] 1364#1364: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
а что значит эта ошибка? Куда смотреть?
А в консоли при openssl s_client -connect eve-ua.com:443 -status
OCSP response: no response sent