Requisitos: El sitio web habilita la función OCSP, OCSP stapling es una de las soluciones de optimización HTTPS, que reenvía la solicitud OCSP que originalmente debía ser iniciada por el cliente en tiempo real al servidor, y el área de servicio Nginx obtiene los resultados de la consulta OCSP y los envía al cliente junto con el certificado, para que este pueda saltarse el proceso de búsqueda de autenticación y mejorar la eficiencia del handshake TLS. El rendimiento de HTTPS puede mejorarse.
OCSP
OCSP (Protocolo de Estado de Certificado en Línea) es un protocolo de consulta en línea utilizado para verificar la legitimidad y validez de los certificados, proporcionado por la Autoridad de Certificación Digital (CA). Cada vez que un usuario accede a un sitio web vía HTTPS, el navegador utiliza una consulta OCSP para verificar que el certificado del sitio web es válido.
Cuando el stapling OCSP está habilitado, las consultas OCSP las realiza el servidor web, y la web almacena en caché los resultados de la consulta en el servidor. Cuando el cliente estrecha la mano con el TLS del servidor web, la web responde directamente a la información OCSP y al certificado del cliente para la verificación del cliente, eliminando la necesidad de que el cliente envíe solicitudes de consulta a la CA, lo que mejora enormemente la eficiencia del handshake TLS, ahorra tiempo de autenticación al usuario y optimiza la velocidad HTTPS. Si quieres mejorar la eficiencia de la verificación del estado de certificados en handshakes HTTPS y mejorar el rendimiento del acceso a sitios web, puedes habilitar la vinculación OCSP.
Como se muestra en la siguiente figura:
Protocolo de Estado de Certificado en Línea (OCSP)
El Protocolo de Estado de Certificado en Línea (OCSP) se creó como una alternativa al protocolo de Lista de Revocación de Certificados (CRL). Ambos protocolos se utilizan para comprobar si un certificado SSL ha sido revocado.
El protocolo CRL requiere que los navegadores descarguen una gran cantidad de información sobre la revocación de certificados SSL: el número de serie del certificado y la última fecha de lanzamiento de cada certificado. El problema del protocolo CRL es que puede alargar el tiempo que tarda en negociar con SSL.
El protocolo OCSP elimina la necesidad de que los navegadores dediquen tiempo a descargar y buscar en una lista de información de certificados. Con OCSP, el navegador simplemente emite una consulta para recibir una respuesta del respondedor de OCSP (el servidor de la CA que escucha y responde específicamente a las solicitudes OCSP) sobre el estado de la revocación del certificado.
Encuadernación OCSP
OCSP Stapling puede mejorar el protocolo OCSP permitiendo que los hosts web sean más proactivos en la mejora de la experiencia del cliente (navegación). OCSP Stapling permite al emisor del certificado (es decir, el servidor web) consultar directamente al respondedor OCSP y luego almacenar en caché la respuesta. La respuesta de esta caché segura se transmite junto con el handshake TLS/SSL a través de la extensión Certificate Status Request, asegurando que el navegador obtenga el mismo rendimiento responsivo al obtener el estado del certificado y el contenido del sitio web.
OCSP Stapling resuelve los OCSPUn tema de privacidadporque la CA ya no recibe solicitudes de revocación directamente del cliente (navegador). El navegador solicita directamente una CA de terceros (Autoridad Certificadora),Los visitantes de la web que serán expuestos (la CA sabrá qué usuarios visitan nuestra web)。 OCSP Stapling también aborda la latencia de negociación SSL de OCSP eliminando la necesidad de una conexión de red separada al servidor de respuesta de la CA.
Revisa la encuadernación OCSP
Se proporcionan dos escenarios para comprobar si la vinculación OCSP está activada.
Consulta sobre sitios web:El inicio de sesión del hipervínculo es visible., introduce el nombre de dominio. Como se muestra a continuación:
Básico OCSP: Bueno significa habilitado, No habilitado significa no habilitado.
También puedes consultar usando la línea de comandos a través de la herramienta openssl, que es la siguiente:
Respuesta de OCSP:No se ha enviado respuestaNo se habilita a los representantes
Estado de la respuesta de OCSP:Exitoso (0x0)Activado por el representante
Como se muestra a continuación:
Configurar OCSP Stapling en el servidor Nginx
Modifica el archivo de configuración de la conf del nombre de dominio nginx para añadir lo siguiente al nodo servidor:
Recuerda reiniciar el servicio nginx una vez completada la configuración.
Referencia:
El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible. |
Publicado el 4-11-2025 20:22:40
|
|
|
|
