OCSP Stapling

[skurudo]

А вы можете свой трастед файл дать? Я подставлю, по сути они одинаковы же и в общем доступе. И попробуем.

Конечно, не вопрос - https://yadi.sk/d/WRg9ybPBrGovf
только он для wosign, а у вас вроде startssl

[SPEC1AL1ST]

А вы можете свой трастед файл дать? Я подставлю, по сути они одинаковы же и в общем доступе. И попробуем.

Конечно, не вопрос - https://yadi.sk/d/WRg9ybPBrGovf
только он для wosign, а у вас вроде startssl

Да, так у меня и то и то, как в гайде на хабре, там он и со старта брал и с вусайна. Надо как то не так?

[skurudo]

Да, так у меня и то и то, как в гайде на хабре, там он и со старта брал и с вусайна. Надо как то не так?

Свои перетащил на wosing и не стал брать со старта, когда новый генерировал.
PS: Примеры своих скинул в ПМ.

[SPEC1AL1ST]

Еще одна странность вылезла. Хочу проверить стаплинг командой
echo QUIT | openssl s_client -connect eve-ua.com:443 -tls1_2 -tlsextdebug -status | grep " OCSP Response Status"
а вылазит ответ с другим доменом

Code: Select all

depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Domain Validation CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = www.gazetier.ru
verify return:1
DONE

Почему?)))

[skurudo]

Почему?)))

Потому что OCSP Stapling и SNI довольно странно себя ведут на одном IP.
О чем были и жалобы на SSLLab'овых форумах, но это ограничение скорее технологическое.

[SPEC1AL1ST]

Почему?)))

Потому что OCSP Stapling и SNI довольно странно себя ведут на одном IP.
О чем были и жалобы на SSLLab'овых форумах, но это ограничение скорее технологическое.

Так даже если я открываю свой айпи через https - я об этом писал уже. Почему то открывается тоже Газетир. Не в сиаплинге дело тут я думаю.

[skurudo]

Так даже если я открываю свой айпи через https - я об этом писал уже. Почему то открывается тоже Газетир. Не в сиаплинге дело тут я думаю.

Семь бед, один rebuild web. (для самопроверки)

А чтобы не открывалось того, чего нет, я бы предложил добавить такое в /etc/nginx/conf.d/ваш-айпи.conf

Code: Select all

server {
    listen       вашайпи:80 default;
    server_name  _;
        access_log /dev/null;
        error_log /dev/null;
        return 444;
}
server {
    listen      вашайпи:443 ssl spdy;
    server_name _;
    ssl         on;
    ssl_certificate      /home/admin/conf/web/ssl.domain.ru.pem;
    ssl_certificate_key  /home/admin/conf/web/ssl.domain.ru.key;
        access_log /dev/null;
        error_log /dev/null;
  return 444;
}

(ssl_certificate от основного домена - путь ваш естественно)

[SPEC1AL1ST]

2016/05/16 11:30:28 [error] 1364#1364: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
а что значит эта ошибка? Куда смотреть?
А в консоли при openssl s_client -connect eve-ua.com:443 -status
OCSP response: no response sent

[skurudo]

2016/05/16 11:30:28 [error] 1364#1364: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
а что значит эта ошибка? Куда смотреть?
А в консоли при openssl s_client -connect eve-ua.com:443 -status
OCSP response: no response sent

Смотреть отзывается ли ocsp.startssl.com для начала. Не смог проверить с помощью респондера валидность.