Ho appena eseguito un rapido test su ssllabs.com: ho ottenuto A +, di cui sono felice.
Tuttavia c'è una cosa che non so come "aggiustare": Il mio sito supporta la pinzatura OCSP e ssllabs continua a dirmi: Problemi della catena: contiene ancora. So che questo è solo un "avvertimento" nel senso che rallenta un po 'la connessione.
nginx config:
..
ssl_certificate public.crt;
ssl_certificate_key private.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate my-chain.pem;
..
Dove:
- public.crt è il certificato pubblico che ho ricevuto da StartSSL
- private.key chiave privata del certificato
- my-chain.pem (ssllabs chiama questo: "Certificati aggiuntivi (se forniti)") consistono in:
1.) StartCom Class 1 Primary Intermediate Server CA
2.) StartCom Certification Authority
Ho trovato un sito che utilizza anche certificati StartCom (StartSSL), supporta la graffatura OCSP, ma non presenta il problema sopra descritto.
"Certificati aggiuntivi" di questo sito:
1.) StartCom Class 1 Primary Intermediate Server CA
Ho provato la stessa cosa: metto solo "CA server intermedio primario StartCom Classe 1" su my-chain.pem.
Tuttavia, ssllabs dice: Pinzatura OCSP: No Quindi sembra che questa operazione interrompa completamente la punteggiatura OCSP.
Qualche idea?
EDIT:
Finalmente risolto!
ssl_certificate = Site certificate + StartCom Class 1 Primary Intermediate Server CA
ssl_trusted_certificate = StartCom Class 1 Primary Intermediate Server CA + StartCom Certification Authority