Auteur Sujet: OCSP Stapling - vérifier la validité d'un certificat numérique TLS en temps-réel (Lu 17756 fois)

vivien · « **Réponse #12 le:** 19 mai 2017 à 14:42:57 »

Je ne résout pas le pb pour les autres sites concernés (attention, même si le service OCSP Stapling est entièrement tombé, seuls les sites qui ont demandé le renouvellement sont impactés)

Par contre cela résout le pb pour mon serveur.

iperf.fr, est lui aussi avec OCSP Stapling avec Let's Encrypt et il n'est pour le moment pas impacté :

Code: [Sélectionner]

$ openssl s_client -connect iperf.fr:443 -status -servername iperf.fr
CONNECTED(00000003)
OCSP response: no response sent
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = iperf.fr
verify return:1
---
Certificate chain
 0 s:/CN=iperf.fr
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=iperf.fr
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3188 bytes and written 457 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 934B3587359851ECE1F1952B7532A00E9D6819A493D4113C0C5DABF926A5B527
    Session-ID-ctx: 
    Master-Key: 7CD0F4EE10700CAE9CFB27720B1EA19A00D6E05B7849E016FADBBAEBB59CB8F20B0C8EE2D6AB71983483DA6263D66E12
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 15 6e cc 64 75 83 36 40-71 d3 25 c8 74 27 ae 7c   .n.du.6@q.%.t'.|
    0010 - 0d 5e 0c a8 8a 43 b7 c9-6d ed 95 40 c8 08 e0 de   .^...C..m..@....
    0020 - 9f 6c 86 fd 05 62 b4 f3-ff dc 9e e1 3c 0a e7 ab   .l...b......<...
    0030 - f1 89 7a e3 de 7a 60 10-86 c3 3f c5 65 25 f4 b3   ..z..z`...?.e%..
    0040 - 17 3f a7 b5 f1 d7 1b 75-3b 49 83 cd d1 2e d9 8e   .?.....u;I......
    0050 - a8 09 8a 16 9b 49 59 3a-28 5e 8c 43 c6 07 85 20   .....IY:(^.C... 
    0060 - 17 71 a9 50 fb 13 fe e1-19 1e 0e 15 45 c8 6b 40   .q.P........E.k@
    0070 - e4 9c 55 b6 76 fb 0e cf-ee 50 c3 09 74 1c d2 33   ..U.v....P..t..3
    0080 - 22 5f 12 a7 29 47 3b 25-95 e4 60 fc 00 ab ff 5e   "_..)G;%..`....^
    0090 - 97 39 00 dc 3e 96 6a 77-39 b9 63 af 9d f9 72 2f   .9..>.jw9.c...r/
    00a0 - b8 a1 68 a7 f0 c7 33 05-79 e7 64 c9 5d 87 e5 58   ..h...3.y.d.]..X
    00b0 - 98 25 1b b4 67 62 39 95-d7 c1 fc 2d a8 8c ee be   .%..gb9....-....

    Start Time: 1495197647
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

vivien · « **Réponse #13 le:** 19 mai 2017 à 16:32:41 »

Citation de: FloBaoti le 19 mai 2017 à 13:54:28

Let's Encrypt est cassé depuis ce matin : http://letsencrypt.status.io/

C'est résolut, j'ai ré-activé OCSP Stapling sur LaFibre.info et cela fonctionne.

Code: [Sélectionner]

$ openssl s_client -connect lafibre.info:443 -status -servername lafibre.info
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = lafibre.info
verify return:1
OCSP response: 
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
    Produced At: May 19 11:58:00 2017 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
      Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
      Serial Number: 03172E2CD17A1C60971E12C4C08FEC3A915A
    Cert Status: good
    This Update: May 19 11:00:00 2017 GMT
    Next Update: May 26 11:00:00 2017 GMT

    Signature Algorithm: sha256WithRSAEncryption
         1f:13:bd:80:53:18:bf:ac:a0:c1:c8:e0:de:b5:09:46:29:65:
         29:25:10:aa:d1:3a:91:06:37:d1:6c:d7:9d:7e:e7:33:07:1e:
         02:c2:0f:9d:8b:83:fe:32:d6:e5:71:b1:04:b4:04:0e:3b:55:
         5e:91:c5:bb:23:e9:59:f0:a2:db:8f:1e:35:55:50:73:1e:1f:
         ef:7a:5d:b7:29:4b:a0:c2:52:e7:da:71:5a:08:14:82:eb:65:
         ed:95:c4:63:73:27:f5:9a:93:6c:f4:6d:ba:52:96:9d:ef:4b:
         ea:ca:b4:b3:15:81:76:28:ac:8e:11:b7:4f:9d:4a:c6:cd:a9:
         54:17:0b:8e:b1:55:0f:dd:b4:bc:5c:48:9f:36:7f:d8:32:df:
         ad:2f:dc:59:ee:3c:e3:38:f0:7c:30:a7:e7:cd:b0:a9:2e:2b:
         5e:61:69:de:ce:a5:36:ca:7a:a1:47:68:b2:69:33:b1:b6:48:
         6d:76:30:8c:29:ea:81:94:dc:72:63:f7:cf:2f:e3:f8:b3:f2:
         29:c0:26:03:dc:af:35:7b:de:88:c1:54:f5:a8:ab:47:a4:46:
         40:c4:b7:19:58:ac:32:c2:f7:a8:74:81:70:f2:8f:c2:fe:68:
         f0:5b:22:5a:6c:aa:e4:0e:e4:3f:20:4a:5e:a8:8d:a5:54:28:
         fb:32:a3:f2
======================================
---
Certificate chain
 0 s:/CN=lafibre.info
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=lafibre.info
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3922 bytes and written 461 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: B4B15FE5A07E503A85C891C9CA5A30F3291C0171B4C439025A7C71FC25014B56
    Session-ID-ctx: 
    Master-Key: AE3057F21CA802C45E8DC7DB0CEECE7B9267938B1BBE90D67967DB9AD6A01CDF773E20232F9E8653F0146289D7E547B4
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 8b 4d fb 6f de 06 8b 73-83 48 94 cf 8c 85 fb 9b   .M.o...s.H......
    0010 - 08 5b 38 60 80 2a d0 18-78 14 74 eb 13 97 4c 0f   .[8`.*..x.t...L.
    0020 - 45 eb 4c da 97 f7 c0 9a-44 bd 1a b9 82 92 f6 1f   E.L.....D.......
    0030 - 80 a6 a7 d0 83 2b 91 f6-0c ed af c1 91 86 c6 fd   .....+..........
    0040 - b0 40 28 c5 e5 4e 30 66-5f 76 7c 99 f9 ab ad 8a   .@(..N0f_v|.....
    0050 - 12 82 01 2b 77 61 b4 b7-a5 66 c6 dd f2 d5 0b d7   ...+wa...f......
    0060 - d2 40 28 5f 93 0a 32 87-6f 1b f3 60 fa 7d 54 98   .@(_..2.o..`.}T.
    0070 - ae b2 ba 50 81 7b cf 47-e0 1c 3a 25 1c 68 67 c2   ...P.{.G..:%.hg.
    0080 - 6f 83 96 9e 47 38 01 a0-66 92 8a d8 96 6f f5 11   o...G8..f....o..
    0090 - aa b2 b9 29 d3 36 b1 e7-e9 23 bd 5e e9 26 50 ad   ...).6...#.^.&P.
    00a0 - 55 3a 48 86 26 cd 53 dc-04 97 f2 40 91 3a 53 07   U:H.&.S....@.:S.
    00b0 - 1e d5 16 e8 d9 c0 90 62-46 09 45 83 3c 74 6f 60   .......bF.E.<to`
    00c0 - 2f 7d e6 bf 9b 60 ee 05-bb 52 55 7a 81 54 5f 1d   /}...`...RUz.T_.

    Start Time: 1495204479
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

HTTP/1.1 400 Bad Request
Date: Fri, 19 May 2017 14:34:45 GMT
Server: Apache
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
read:errno=0

Nh3xus · « **Réponse #14 le:** 19 mai 2017 à 18:07:12 »

Le serveur de renouvellement acme ne fonctionne toujours pas...

Et comme j'ai mis du HSTS sur mon Apache, ya plus de site...

FloBaoti · « **Réponse #15 le:** 19 mai 2017 à 18:13:06 »

Citation de: Nh3xus le 19 mai 2017 à 18:07:12

Le serveur de renouvellement acme ne fonctionne toujours pas...

Et comme j'ai mis du HSTS sur mon Apache, ya plus de site...

T'as laissé ton certificat s'expirer ?

faut toujours prendre quelques jours de marge et pas renouveller dans la dernière heure !

vivien · « **Réponse #16 le:** 19 mai 2017 à 18:17:36 »

Le certificat se renouvelle automatiquement un mois avant l'expiration.

Si vous avez du mal avec le renouvellement automatique, je peux aider.

thenico · « **Réponse #17 le:** 20 mai 2017 à 17:02:17 »

Voici un article qui explique que Apache et nginx n'implemente pas correctement l'OCSP Stapling.
L’implèmentation serveur doit mettre en cache la réponse OCSP valide (en la renouvelant dès que possible).

L'auteur de l'article conseille la configuration suivante pour Apache afin de limiter les dégâts:

Code: [Sélectionner]

SSLStaplingCache shmcb:/var/tmp/ocsp-stapling-cache/cache(128000000)
SSLUseStapling on
SSLStaplingResponderTimeout 2
SSLStaplingReturnResponderErrors off
SSLStaplingFakeTryLater off
SSLStaplingStandardCacheTimeout 86400

jack · « **Réponse #18 le:** 20 mai 2017 à 19:19:44 »

* jack note une raison supplèmentaire de jeter apache à la poubelle

Hugues · « **Réponse #19 le:** 20 mai 2017 à 19:21:26 »

Citation de: thenico le 20 mai 2017 à 17:02:17

Apache et nginx n'implemente pas correctement l'OCSP Stapling.

* Hugues tend une paire de lunettes à Jack

jack · « **Réponse #20 le:** 20 mai 2017 à 19:51:28 »

Tu peux ensuite lire le document en question et te ranger à mon avis

thenico · « **Réponse #21 le:** 20 mai 2017 à 20:03:48 »

Citer

Nginx sends out the first reply after startup WITHOUT a stapled OCSP response included. It notices afterwards that it didn't and initiates a lazy OCSP query. At some point in the future it'll include them.

Tes n premiers clients vont se prendre un blocage avec Firefox ...
Tu trouve ce comportement meilleur ?

jack · « **Réponse #22 le:** 20 mai 2017 à 20:07:38 »

s/Tes n premiers clients vont se prendre un blocage avec Firefox .../Ta première connexion va être problématique si le client est Firefox/

100ms avant, c'était un connexion refused, ne l'oublions pas.

Hugues · « **Réponse #23 le:** 20 mai 2017 à 20:21:04 »

Citation de: jack le 20 mai 2017 à 19:51:28

Tu peux ensuite lire le document en question et te ranger à mon avis

Bof, tu connais mon avis sur nginx.