Изисквания: Уебсайтът активира функцията OCSP, OCSP залепването е едно от HTTPS оптимизационните решения, които препращат OCSP заявката, която първоначално е трябвало да бъде инициирана от клиента в реално време, към сървъра, а зоната за обслужване Nginx получава резултатите от OCSP заявката и ги изпраща на клиента заедно със сертификата, така че клиентът да пропусне процеса на търсене на автентикация и да подобри ефективността на TLS ръкостискането. HTTPS производителността може да се подобри.
OCSP
OCSP (Онлайн протокол за статус на сертификати) е онлайн протокол за заявки, използван за проверка на легитимността и валидността на сертификатите, предоставян от Цифровия сертифициращ орган (CA). Всеки път, когато потребител достъпва уебсайт чрез HTTPS, браузърът използва OCSP заявка, за да провери дали сертификатът на сайта е валиден.
Когато е активирано OCSP телбодирането, OCSP заявките се изпълняват от уеб сървъра, а уеб кешира резултатите от заявката към сървъра. Когато клиентът се ръкува с уеб сървъра TLS, уебът директно отговаря на информацията и сертификата за OCSP на клиента за проверка на клиента, елиминирайки нуждата клиентът да изпраща заявки към CA, което значително подобрява ефективността на TLS ръкостискането, спестява време за потребителска автентикация и оптимизира скоростта на HTTPS. Ако искате да подобрите ефективността на проверката на статуса на сертификата при HTTPS ръкостискания и да подобрите ефективността на достъпа до уебсайта, можете да активирате OCSP binding.
Както е показано на следващата фигура:
Онлайн протокол за статус на сертификата (OCSP)
Онлайн протоколът за статус на сертификати (OCSP) беше създаден като алтернатива на протокола за списък за отмяна на сертификати (CRL). И двата протокола се използват за проверка дали SSL сертификат е бил отнет.
CRL протоколът изисква браузърите да изтеглят голям брой информация за отнемане на SSL сертификати: серийния номер на сертификата и последната дата на издаване на всеки сертификат. Проблемът с CRL протокола е, че може да удължи времето за SSL преговори.
Протоколът OCSP премахва необходимостта браузърите да отделят време за изтегляне и търсене на списък със сертификатна информация. При OCSP браузърът просто изпраща заявка, за да получи отговор от отговорника на OCSP (сървъра на CA, който специално слуша и отговаря на OCSP заявки) относно статуса на анулирането на сертификата.
OCSP обвързване
OCSP Stapling може да подобри протокола OCSP, като позволява на хостовете на уебсайтове да бъдат по-активни в подобряването на клиентското (сърфиране) изживяване. OCSP Stapling позволява на издавача на сертификати (т.е. уеб сървъра) да прави запитване директно към OCSP отговарящия и след това да кешира отговора. Отговорът от този защитен кеш се предава заедно с TLS/SSL ръкостискането през разширението Certificate Status Request, което гарантира, че браузърът получава същата отзивчива производителност при получаване на състоянието на сертификата и съдържанието на уебсайта.
OCSP Стиплингът решава проблемите на OCSPВъпрос на поверителностзащото CA вече не получава заявки за отмяна директно от клиента (браузъра). Браузърът директно иска трета страна CA (сертифициращ орган),Посетителите на уебсайта, които ще бъдат изложени (CA ще знае кои потребители посещават нашия уебсайт)。 OCSP Stapling също така решава латентността при преговори в SSL на OCSP, като елиминира нуждата от отделна мрежова връзка към CA отговорния сървър.
Проверете OCSP обвързването
Дадени са два сценария, за да проверят дали OCSP binding е активиран.
Онлайн запитване на уебсайта:Входът към хиперлинк е видим., въведете домейна. Както е показано по-долу:
OCSP Staple: Добро означава активирано, Неактивирано означава неактивирано.
Можете също да изпращате заявка чрез командния ред чрез инструмента openssl, който е следният:
Отговор на OCSP:Не изпратен отговорПредставителите не са разрешени
Статус на отговора на OCSP:Успешен (0x0)Активиран представител
Както е показано по-долу:
Конфигуриране на OCSP Stapling на Nginx сървъра
Модифицирайте конфигурационния файл на домейна на nginx, за да добавите следното към сървърния възел:
Не забравяйте да рестартирате услугата nginx след като конфигурацията приключи.
Препратка:
Входът към хиперлинк е видим.
Входът към хиперлинк е видим.
Входът към хиперлинк е видим.
Входът към хиперлинк е видим. |
Публикувано на 2025-11-4 20:22:40
|
|
|
|
