Как добиться OCSP stapling Yes на Nginx для сертификатов от WoSign?

Question

[Dmitry Averin]

Здравствуйте, друзья!

Ни как не могу добиться OCSP stapling Yes на Nginx для сертификатов от WoSign.

Дебиан 7, Nginx 1.8.0 (стандартный пакет с dotdeb).
Рейтинг сайта А+, но OCSP stapling - No

Делал всё по инструкции с Хабра. Конфиг ниже.
Может порт какой-то надо дополнительно открыть?
Или может мой Nginx не поддерживает OCSP stapling?
Что посоветуете посмотреть / проверить?

Заранее спасибо.

server {
        listen 80;
        listen [::]:80;

        listen 443 ssl spdy;
        
        root /path/to/public_html;
		
 server_name domen.ru;
 ssl_dhparam /path/to/dh.key;
 ssl_certificate /path/to/domen.crt;
 ssl_certificate_key /path/to/domen.key;
 ssl_trusted_certificate /path/to/ca-certs.pem;

 ssl_stapling on;
 ssl_stapling_verify on;
 ssl_stapling_responder http://ocsp2.wosign.cn/ca2g2/server1/free;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

 add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
 add_header X-Frame-Options DENY;
 add_header X-Content-Type-Options nosniff;

 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 5m;
 ssl_ecdh_curve secp521r1;

 ssl_prefer_server_ciphers on;

 resolver 8.8.8.8 8.8.4.4 valid=300s;
 resolver_timeout 5s;

Answer 1

[Эргил Осин]

Попробуйте обращаться к ocsp6.wosign.com
У них не всегда сервера отвечают, увы.
Или попробуйте проверить чуть позже.

Вот прямо сейчас мы видим OCSP ERROR: Exception: Read timed out при проверке, а вчера все было нормально. Это — проблема WoSign

Comments

[Dmitry Averin]

Большое спасибо. Снова Вы мне помогли! Буду пробовать.

[Эргил Осин]

averuga: да не за что, я на настройке nginx до состояния A+ и на постоянных проверках, что у меня все хорошо и работает собаку съел, мне не сложно

[Dmitry Averin]

Эргил Осин: а я пока зеленый новичок :) копаюсь потихоньку, nginx, percona, ssl, потом к настройке почты хочу приступить, но пока даже не знаю с какого конца подобраться и какой софт выбрать. В общем, спасибо!

[Эргил Осин]

averuga: ну почту смотря зачем. Если для опыта, то смотрите postfix+dovecot, а так я на своих доменах использую гугловые сервера, что бы не париться с антиспамом и прочим, я в свое время спамассассина наелся по самые гланды, больше не хочу.

[Dmitry Averin]

Эргил Осин: да, только для опыта. >смотрите postfix+dovecot - так и сделаю. + попробую раундкуб к ним в связку.

[Эргил Осин]

Dmitry Averin: ну и таки спамассассин не забудьте.

[ТыжСисАдмин]

Собственно на COMODO сертах OCSP stapling и без ssl_stapling_responder нормально идёт. Чего там WoSign такого намутили :)

[Эргил Осин]

Алексей POS_troi: я уже сказал чего. У них не всегда отвечают сервера. Путь в Китай он сложный. Кто-то даже приделывал костыль с проксированием через виртуалку в Китае. Проблемы с ответом их сервера только при доступе из внешнего мира

[Dmitry Averin]

Эргил Осин: я ещё заметил, что скорость загрузки страницы с тестовым Вордпрессом увеличился с 0.8 сек до 2.3 сек. Но наверное это не связано с Китаем, а только с фактом шифрования.

[Эргил Осин]

Dmitry Averin: ну WP вообще странный, хотя и 0.8 и тем более 2.3 это как-то совсем дофига.