Задать вопрос
averuga
@averuga

Как добиться OCSP stapling Yes на Nginx для сертификатов от WoSign?

Здравствуйте, друзья!

Ни как не могу добиться OCSP stapling Yes на Nginx для сертификатов от WoSign.

Дебиан 7, Nginx 1.8.0 (стандартный пакет с dotdeb).
Рейтинг сайта А+, но OCSP stapling - No

Делал всё по инструкции с Хабра. Конфиг ниже.
Может порт какой-то надо дополнительно открыть?
Или может мой Nginx не поддерживает OCSP stapling?
Что посоветуете посмотреть / проверить?

Заранее спасибо.

server {
        listen 80;
        listen [::]:80;

        listen 443 ssl spdy;
        
        root /path/to/public_html;
		
 server_name domen.ru;
 ssl_dhparam /path/to/dh.key;
 ssl_certificate /path/to/domen.crt;
 ssl_certificate_key /path/to/domen.key;
 ssl_trusted_certificate /path/to/ca-certs.pem;

 ssl_stapling on;
 ssl_stapling_verify on;
 ssl_stapling_responder http://ocsp2.wosign.cn/ca2g2/server1/free;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

 add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
 add_header X-Frame-Options DENY;
 add_header X-Content-Type-Options nosniff;

 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 5m;
 ssl_ecdh_curve secp521r1;

 ssl_prefer_server_ciphers on;

 resolver 8.8.8.8 8.8.4.4 valid=300s;
 resolver_timeout 5s;
  • Вопрос задан
  • 406 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
Ernillew
@Ernillew
Администрирую *nix-системы с 1997 года
Попробуйте обращаться к ocsp6.wosign.com
У них не всегда сервера отвечают, увы.
Или попробуйте проверить чуть позже.

Вот прямо сейчас мы видим OCSP ERROR: Exception: Read timed out при проверке, а вчера все было нормально. Это — проблема WoSign
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы