απαιτήσεις: Ο ιστότοπος ενεργοποιεί τη λειτουργία OCSP, η συρραφή OCSP είναι μία από τις λύσεις βελτιστοποίησης HTTPS, η οποία προωθεί το αίτημα OCSP που αρχικά απαιτήθηκε να ξεκινήσει από τον πελάτη σε πραγματικό χρόνο στον διακομιστή και η περιοχή εξυπηρέτησης Nginx λαμβάνει τα αποτελέσματα του ερωτήματος OCSP και τα στέλνει στον πελάτη μαζί με το πιστοποιητικό, έτσι ώστε ο πελάτης να μπορεί να παραλείψει τη διαδικασία αναζήτησης ελέγχου ταυτότητας και να βελτιώσει την αποτελεσματικότητα της χειραψίας TLS. Η απόδοση του HTTPS μπορεί να βελτιωθεί.
Το OCSP
Το OCSP (Online Certificate Status Protocol) είναι ένα διαδικτυακό πρωτόκολλο ερωτημάτων που χρησιμοποιείται για την επαλήθευση της νομιμότητας και της εγκυρότητας των πιστοποιητικών, που παρέχεται από την Αρχή Ψηφιακών Πιστοποιητικών (CA). Κάθε φορά που ένας χρήστης αποκτά πρόσβαση σε έναν ιστότοπο μέσω HTTPS, το πρόγραμμα περιήγησης χρησιμοποιεί ένα ερώτημα OCSP για να επαληθεύσει ότι το πιστοποιητικό του ιστότοπου είναι έγκυρο.
Όταν είναι ενεργοποιημένη η συρραφή OCSP, τα ερωτήματα OCSP εκτελούνται από το διακομιστή web και το web αποθηκεύει προσωρινά τα αποτελέσματα του ερωτήματος στο διακομιστή. Όταν ο πελάτης δίνει τα χέρια με τον διακομιστή ιστού TLS, ο ιστός ανταποκρίνεται απευθείας στις πληροφορίες OCSP και στο πιστοποιητικό του πελάτη για επαλήθευση πελάτη, εξαλείφοντας την ανάγκη του πελάτη να στέλνει αιτήματα ερωτημάτων στην CA, γεγονός που βελτιώνει σημαντικά την αποτελεσματικότητα της χειραψίας TLS, εξοικονομεί χρόνο ελέγχου ταυτότητας χρήστη και βελτιστοποιεί την ταχύτητα HTTPS. Εάν θέλετε να βελτιώσετε την αποτελεσματικότητα της επαλήθευσης κατάστασης πιστοποιητικού σε χειραψίες HTTPS και να βελτιώσετε την απόδοση πρόσβασης στον ιστότοπο, μπορείτε να ενεργοποιήσετε τη δέσμευση OCSP.
Όπως φαίνεται στο παρακάτω σχήμα:
Πρωτόκολλο κατάστασης ηλεκτρονικού πιστοποιητικού (OCSP)
Το Online Certificate Status Protocol (OCSP) δημιουργήθηκε ως εναλλακτική λύση στο πρωτόκολλο Certificate Revocation List (CRL). Και τα δύο πρωτόκολλα χρησιμοποιούνται για να ελέγξουν εάν ένα πιστοποιητικό SSL έχει ανακληθεί.
Το πρωτόκολλο CRL απαιτεί από τα προγράμματα περιήγησης να κάνουν λήψη μεγάλου αριθμού πληροφοριών ανάκλησης πιστοποιητικού SSL: τον σειριακό αριθμό πιστοποιητικού και την ημερομηνία τελευταίας κυκλοφορίας κάθε πιστοποιητικού. Το πρόβλημα με το πρωτόκολλο CRL είναι ότι μπορεί να παρατείνει το χρόνο που απαιτείται για τις διαπραγματεύσεις SSL.
Το πρωτόκολλο OCSP εξαλείφει την ανάγκη των προγραμμάτων περιήγησης να αφιερώνουν χρόνο στη λήψη και την αναζήτηση μιας λίστας πληροφοριών πιστοποιητικού. Με το OCSP, το πρόγραμμα περιήγησης απλώς εκδίδει ένα ερώτημα για να λάβει μια απάντηση από την απόκριση OCSP (τον διακομιστή της CA που ακούει και απαντά συγκεκριμένα σε αιτήματα OCSP) σχετικά με την κατάσταση της ανάκλησης του πιστοποιητικού.
Δέσμευση OCSP
Η συρραφή OCSP μπορεί να βελτιώσει το πρωτόκολλο OCSP επιτρέποντας στους οικοδεσπότες ιστοτόπων να είναι πιο προληπτικοί στη βελτίωση της εμπειρίας πελάτη (περιήγησης). Η συρραφή OCSP επιτρέπει στον εκδότη του πιστοποιητικού (δηλαδή στον διακομιστή web) να υποβάλει απευθείας ερώτημα στην απόκριση OCSP και στη συνέχεια να αποθηκεύσει προσωρινά την απόκριση. Στη συνέχεια, η απόκριση από αυτήν την ασφαλή κρυφή μνήμη μεταβιβάζεται μαζί με τη χειραψία TLS/SSL μέσω της επέκτασης αιτήματος κατάστασης πιστοποιητικού, διασφαλίζοντας ότι το πρόγραμμα περιήγησης έχει την ίδια απόδοση απόκρισης κατά τη λήψη της κατάστασης πιστοποιητικού και του περιεχομένου του ιστότοπου.
Η συρραφή OCSP επιλύει τα OCSPΈνα ζήτημα απορρήτουεπειδή η CA δεν λαμβάνει πλέον αιτήματα ανάκλησης απευθείας από τον πελάτη (πρόγραμμα περιήγησης). Το πρόγραμμα περιήγησης ζητά απευθείας μια CA τρίτου μέρους (Αρχή έκδοσης πιστοποιητικών),Επισκέπτες του ιστότοπου που θα εκτεθούν (η ΑΠ θα γνωρίζει ποιοι χρήστες επισκέπτονται τον ιστότοπό μας)。 Η συρραφή OCSP αντιμετωπίζει επίσης τον λανθάνοντα χρόνο διαπραγμάτευσης OCSP SSL εξαλείφοντας την ανάγκη για ξεχωριστή σύνδεση δικτύου με τον διακομιστή απόκρισης CA.
Ελέγξτε τη σύνδεση OCSP
Παρέχονται δύο σενάρια για να ελέγξετε εάν η σύνδεση OCSP είναι ενεργοποιημένη.
Διαδικτυακή έρευνα ιστότοπου:Η σύνδεση με υπερσύνδεσμο είναι ορατή., εισαγάγετε το όνομα τομέα. Οπως φαίνεται παρακάτω:
Συρραφή OCSP: Καλό σημαίνει ενεργοποιημένο, Μη ενεργοποιημένο σημαίνει μη ενεργοποιημένο.
Μπορείτε επίσης να υποβάλετε ερώτημα χρησιμοποιώντας τη γραμμή εντολών μέσω του εργαλείου openssl, το οποίο έχει ως εξής:
Απάντηση OCSP:Δεν στάλθηκε απάντησηΟι αντιπρόσωποι δεν είναι ενεργοποιημένοι
Κατάσταση απόκρισης OCSP:επιτυχής (0x0)Αντιπρόσωπος ενεργοποιημένος
Οπως φαίνεται παρακάτω:
Διαμορφώστε το OCSP Stapling στον διακομιστή Nginx
Τροποποιήστε το αρχείο διαμόρφωσης conf ονόματος τομέα nginx για να προσθέσετε τα ακόλουθα στον κόμβο διακομιστή:
Θυμηθείτε να επανεκκινήσετε την υπηρεσία nginx μετά την ολοκλήρωση της διαμόρφωσης.
Αναφορά:
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή. |
Δημοσιεύτηκε στις 2025-11-4 20:22:40
|
|
|
|
