OCSP - SSLUseStapling - Probleme

  • Hallo,


    nachdem es in letzter Zeit ja teils größere Probleme (detaillierte Beschreibung dazu https://blog.hboeck.de/archive…tion-is-still-broken.html) in Verbindung mit SSLUseStapling und OCSP von Let's Encrypt gibt, wäre es vielleicht ganz sinnvoll, wenn man die Konfigurationsparameter, welche Liveconfig schreibt, etwas optimiert.



    Folgende Konfigurationsparameter sorgen z.B. dafür, dass wenigstens keine Fehlermeldungen im Browser landen:

    Code
    SSLStaplingCache shmcb:/var/tmp/ocsp-stapling-cache/cache(128000000)
    SSLUseStapling on
    SSLStaplingResponderTimeout 2
    SSLStaplingReturnResponderErrors off
    SSLStaplingFakeTryLater off
    SSLStaplingStandardCacheTimeout 86400
  • Auch eines unserer Systeme hat dieses Feature heute zum erliegen gebracht. Ein negatives/kein Feedback wird scheinbar nicht im Cache aufgenommen. Aus diesem Grund kosteter jeder Request min. 5 Sekunden, was leider dazu fuehrte, dass jegliche Requests in der Queue des Apaches versumpften.


    Die Default-Settings sind leider sehr prominent in der 000-default.conf. Einen Hebel Stapling zu deaktivieren oder global an den Settings zu drehen habe ich leider nicht gefunden.

  • Ich habe den Ausfall zum Anlass genommen zur recherchieren und festgestellt, dass die Implementierung im Apache 2.4 mit Vorsicht zu genießen ist. Ich wuerde mich ueber einen Tipp freuen, ob man das Feature per custom.lua deaktivieren kann. Die temporaere Loesung war hier auch:


    Code
    sed -i 's#SSLUseStapling off#SSLUseStapling on#g' /etc/apache2/sites-available/*.conf


    Man sollte "sed" nicht auf "sites-enabled" los lassen, sonst werden aus dem Symlinks echte Dateien. ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!