Apache – Ativar o OCSP Stapling

Apache – Ativar o OCSP Stapling

Leitura Prévia:


Ativar o OCSP Stapling

  1. Verifique se o Apache 2.3.3 ou superior está instalado.

    apache2 -v

    Nota: Aplica-se aos ambientes Debian e Ubuntu; Usuários do Red Hat & CentOS, tem de substituir apache2 por httpd.

     
  2. Edite o arquivo de configuração do host virtual para o seu site usando o editor de sua escolha (como nano ou vi):

    nano /etc/apache2/sites-available/example.com-ssl.conf

     
  3. Ative o OCSP stapling com a seguinte entrada:

    SSLUseStapling on

     
  4. Defina o número de segundos para aguardar uma resposta OCSP da CA e evite mensagens de erro do usuário:

    SSLStaplingResponderTimeout 5
    SSLStaplingReturnResponderErrors off

     
  5. Aponte para um arquivo completo de cadeia de certificados confiáveis (full trusted certificate chain file). Deverá conter todos os certificados: raíz, intermediário e servidor.

    SSLCACertificateFile /etc/apache2/ssl/full_chain.pem


     
  6. Especifique o local da resposta em cache do OCSP:
    SSLStaplingCache shmcb:/var/run/ocsp(128000)

    Note: Deverá ser colocado fora das tags <VirtualHost> ou o Apache não será iniciado.

    Use a configuração de exemplo abaixo como referência:
      

<IfModule mod_ssl.c>

    
# Specify cached response location (must be outside <VirtualHost>)
    SSLStaplingCache shmcb: /var/run/ocsp(128000)

    <VirtualHost *:443>
        ServerAdmin admin@example.com
        ServerName example.com
        DocumentRoot /var/www

    
# Enable SSL & OCSP Stapling
        SSLEngine on
        SSLUseStapling on

   
 # Configure Stapling Options
        SSLStaplingResponderTimeout 5
        SSLStaplingReturnResponderErrors off

    
# Assign SSL Certificate & Key
        SSLCertificateFile /etc/apache2/ssl/example.com/my_certificate.crt
        SSLCertificateKeyFile /etc/apache2/ssl/example.com/example.key

   
 # Specify full certificate chain (Root, Intermediate, and Server)
        SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
            
    </VirtualHost>
</IfModule>


 

  1. Teste a sua configuração antes de recarregar:
    apachectl -t
     
  2. Reinicie o serviço Apache se estiver OK:
    service apache2 reload
  3. Verifique se o OCSP Stapling está funcionando, verificando o seu domínio Verificador SSL da GlobalSign.

Related Articles

GlobalSign Alertas de sistema

Ver alertas recentes do sistema

Ver Alertas

Ferramenta de Inventário de Certificados

Faça a varredura de seus terminais para localizar todos os seus certificados.

Entrar / Inscrever-se

Teste de configuração SSL

Verifique a instalação do seu certificado quanto a problemas e vulnerabilidades de SSL.