Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Weitere Technologien Serverkonfiguration Nginx-Website HTTPS-optimierte OCSP-Bindung
Ansehen: 259|Antwort: 0

[Web] Nginx-Website HTTPS-optimierte OCSP-Bindung

[Link kopieren]
Veröffentlicht am 04.11.2025, 20:22:40 | | | |
Anforderungen: Die Website ermöglicht die OCSP-Funktion, OCSP-Stapeln ist eine der HTTPS-Optimierungslösungen, die die ursprünglich vom Client initiierte OCSP-Anfrage in Echtzeit an den Server weiterleitet, und der Nginx-Versorgungsbereich erhält die OCSP-Abfrageergebnisse und sendet sie zusammen mit dem Zertifikat an den Client, sodass der Client den Prozess der Authentifizierung überspringen und die Effizienz des TLS-Handshakes verbessern kann. Die HTTPS-Leistung kann verbessert werden.

OCSP

OCSP (Online Certificate Status Protocol) ist ein Online-Abfrageprotokoll, das zur Überprüfung der Legitimität und Gültigkeit von Zertifikaten verwendet wird und von der Digital Certificate Authority (CA) bereitgestellt wird. Jedes Mal, wenn ein Nutzer eine Website über HTTPS aufruft, verwendet der Browser eine OCSP-Abfrage, um zu überprüfen, ob das Zertifikat der Website gültig ist.

Wenn OCSP-Stapeln aktiviert ist, werden OCSP-Abfragen vom Webserver durchgeführt, und das Web speichert die Abfrageergebnisse auf den Server. Wenn der Client mit dem TLS des Webservers die Hand schüttelt, reagiert das Web direkt auf die OCSP-Informationen und das Zertifikat des Clients zur Client-Verifizierung, wodurch die Notwendigkeit entfällt, Anfragen an die CA zu senden, was die Effizienz des TLS-Handshakes erheblich verbessert, Benutzer-Authentifizierungszeit spart und die HTTPS-Geschwindigkeit optimiert. Wenn Sie die Effizienz der Zertifikatsstatusverifizierung in HTTPS-Handshakes verbessern und die Zugriffsleistung auf der Website verbessern möchten, können Sie OCSP-Bindung aktivieren.

Wie in der folgenden Abbildung dargestellt:



Online-Zertifikatsstatusprotokoll (OCSP)

Das Online Certificate Status Protocol (OCSP) wurde als Alternative zum Certificate Revocation List (CRL)-Protokoll geschaffen. Beide Protokolle werden verwendet, um zu überprüfen, ob ein SSL-Zertifikat widerrufen wurde.

Das CRL-Protokoll verlangt von Browsern, eine große Anzahl von SSL-Zertifikatswiderrufsinformationen herunterzuladen: die Zertifikatsseriennummer und das letzte Veröffentlichungsdatum jedes Zertifikats. Das Problem mit dem CRL-Protokoll ist, dass es die Zeit für SSL-Verhandlungen verlängern kann.

Das OCSP-Protokoll überflüssig wird, dass Browser Zeit damit verbringen müssen, eine Liste von Zertifikatsinformationen herunterzuladen und durchzusuchen. Mit OCSP stellt der Browser einfach eine Anfrage ab, um eine Antwort vom OCSP-Responder (dem Server der CA, der speziell auf OCSP-Anfragen achtet und darauf antwortet) bezüglich des Status des Zertifikatswiderrufs zu erhalten.

OCSP-Bindung

OCSP Stapling kann das OCSP-Protokoll verbessern, indem es Website-Hosts ermöglicht, proaktiver die Client- (Browsing-)Erfahrung zu verbessern. OCSP Stapling ermöglicht es dem Zertifikatsaussteller (d. h. dem Webserver), den OCSP-Responder direkt abzufragen und anschließend die Antwort zu cachen. Die Antwort aus diesem sicheren Cache wird dann zusammen mit dem TLS/SSL-Handshake über die Certificate Status Request-Erweiterung weitergeleitet, sodass der Browser beim Erlangen des Zertifikatszustands und der Website-Inhalte die gleiche reaktionsfähige Leistung erzielt.

OCSP Stapeln löst OCSPsEin Datenschutzproblemweil die CA keine Widerrufsanfragen mehr direkt vom Client (Browser) empfängt. Der Browser fordert direkt eine externe CA (Zertifizierungsstelle) an,Besucher der Website, die offengelegt werden (die CA weiß, welche Nutzer unsere Website besuchen)。 OCSP Stapling adressiert außerdem die Verhandlungsverzögerung bei OCSP SSL, indem eine separate Netzwerkverbindung zum CA-Antwortserver überflüssig wird.

Überprüfen Sie die OCSP-Bindung

Zwei Szenarien werden bereitgestellt, um zu prüfen, ob die OCSP-Bindung aktiviert ist.

Online-Website-Anfrage:Der Hyperlink-Login ist sichtbar., geben Sie den Domainnamen ein. Wie unten gezeigt:



OCSP Staple: Gut bedeutet aktiviert, Nicht aktiviert heißt nicht aktiviert.

Sie können auch über die Kommandozeile über das openssl-Tool eine Abfrage stellen, das wie folgt lautet:

OCSP-Antwort:Keine Antwort gesendetVertreter sind nicht aktiviert
OCSP-Reaktionsstatus:erfolgreich (0x0)Repräsentativ aktiviert

Wie unten gezeigt:



OCSP-Stapeln auf dem Nginx-Server konfigurieren

Ändern Sie die nginx-Domainname-conf-Konfigurationsdatei, um Folgendes zum Serverknoten hinzuzufügen:

Denken Sie daran, den nginx-Dienst nach Abschluss der Konfiguration neu zu starten.

Referenz:

Der Hyperlink-Login ist sichtbar.
Der Hyperlink-Login ist sichtbar.
Der Hyperlink-Login ist sichtbar.
Der Hyperlink-Login ist sichtbar.




Vorhergehend:Eingebettet in die Enterprise WeChat-Scanning-Code-Login-Funktion reportEvent Problem
Nächster:ASP.NET Core (33) Dateiausgabe Download (chinesischer Dateiname)

Verwandte Beiträge
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com