Požadavky: Web umožňuje funkci OCSP, OCSP sešívání je jedním z řešení optimalizace HTTPS, které přeposílá OCSP požadavek, který měl klient původně iniciovat, v reálném čase serveru, a oblast služby Nginx získá výsledky dotazu OCSP a odešle je klientovi spolu s certifikátem, aby klient mohl přeskočit proces hledání autentizace a zlepšit efektivitu TLS handshake. Výkon HTTPS lze zlepšit.
OCSP
OCSP (Online Certificate Status Protocol) je online dotazovací protokol používaný k ověření legitimity a platnosti certifikátů, poskytovaný Digitální certifikační autoritou (CA). Pokaždé, když uživatel přistupuje na web přes HTTPS, prohlížeč použije dotaz OCSP k ověření platnosti certifikátu webu.
Když je sešívání OCSP povoleno, dotazy na OCSP provádí webový server a web ukládá výsledky dotazů do cache serveru. Když klient podá ruku webovému serveru TLS, web přímo reaguje na OCSP informace klienta a certifikát pro ověření klienta, čímž odpadá nutnost posílat dotazy CA, což výrazně zvyšuje efektivitu TLS handshake, šetří čas ověřování uživatelů a optimalizuje rychlost HTTPS. Pokud chcete zvýšit efektivitu ověřování statusu certifikátu v HTTPS handshakech a zlepšit přístup na webové stránky, můžete povolit OCSP binding.
Jak je znázorněno na následujícím obrázku:
Online protokol pro status certifikátu (OCSP)
Online protokol pro status certifikátů (OCSP) byl vytvořen jako alternativa k protokolu Certificate Revocation List (CRL). Oba protokoly slouží ke kontrole, zda byl SSL certifikát zrušen.
Protokol CRL vyžaduje, aby prohlížeče stáhly velké množství informací o zrušení SSL certifikátů: sériové číslo certifikátu a datum posledního vydání každého certifikátu. Problém protokolu CRL je, že může prodloužit dobu potřebnou pro SSL vyjednávání.
Protokol OCSP eliminuje potřebu, aby prohlížeče trávily čas stahováním a vyhledáváním v seznamu informací o certifikátech. U OCSP prohlížeč jednoduše vydá dotaz, aby obdržel odpověď od OCSP respondera (serveru CA, který konkrétně naslouchá a odpovídá na požadavky OCSP) ohledně stavu odebrání certifikátu.
Vazba OCSP
OCSP Stapling může vylepšit protokol OCSP tím, že umožní hostitelům webů být aktivnější při zlepšování klientského (prohlížení) zážitku. OCSP Stapling umožňuje vydavateli certifikátu (tj. webovému serveru) přímo dotazovat OCSP odpovídaču a následně tuto odpověď uložit do mezipaměti. Odpověď z této zabezpečené cache je pak předávána spolu s TLS/SSL handshake přes rozšíření Certificate Status Request, což zajišťuje, že prohlížeč získá stejný responzivní výkon při získávání stavu certifikátu a obsahu webu.
OCSP Stapling řeší OCSPOtázka soukromíprotože CA již nepřijímá požadavky na zrušení přímo od klienta (prohlížeče). Prohlížeč přímo žádá třetí stranu CA (certifikační autoritu),Návštěvníci webu, kteří budou vystaveni (CA bude vědět, kteří uživatelé navštěvují náš web)。 OCSP Stapling také řeší latenci vyjednávání SSL OCSP tím, že eliminuje potřebu samostatného síťového připojení k serveru CA response.
Zkontrolujte vazbu OCSP
Jsou k dispozici dva scénáře, jak ověřit, zda je vazba OCSP povolena.
Dotaz na online web:Přihlášení k hypertextovému odkazu je viditelné., zadejte doménu. Jak je uvedeno níže:
OCSP Základ: Dobré znamená povoleno, Nepovoleno znamená neaktivováno.
Můžete také dotazovat pomocí příkazové řádky přes nástroj openssl, který je následující:
Odpověď OCSP:Odezva neodešlaZástupci nejsou povoleni
Stav odpovědí OCSP:Úspěšný (0x0)Reprezentační aktivace
Jak je uvedeno níže:
Konfigurace sešívání OCSP na serveru Nginx
Upravte konfigurační soubor nginx doménového jména conf tak, aby do serverového uzlu přidal následující:
Nezapomeňte službu nginx restartovat po dokončení konfigurace.
Odkaz:
Přihlášení k hypertextovému odkazu je viditelné.
Přihlášení k hypertextovému odkazu je viditelné.
Přihlášení k hypertextovému odkazu je viditelné.
Přihlášení k hypertextovému odkazu je viditelné. |
Zveřejněno 4. 11. 2025 20:22:40
|
|
|
|
