Nõuded: Veebileht võimaldab OCSP funktsiooni, OCSP klammerdamine on üks HTTPS-i optimeerimislahendustest, mis edastab algselt reaalajas kliendi poolt algatatava OCSP päringu serverisse, ning Nginx teeninduspiirkond hangib OCSP päringute tulemused ja saadab need koos sertifikaadiga kliendile, et klient saaks autentimise otsimise protsessi vahele jätta ja parandada TLS-käepigistuse efektiivsust. HTTPS-i jõudlust saab parandada.
OCSP
OCSP (Online Certificate Status Protocol) on veebipõhine päringuprotokoll, mida kasutatakse sertifikaatide legitiimsuse ja kehtivuse kontrollimiseks ning mida pakub Digitaalne Sertifikaadiamet (CA). Iga kord, kui kasutaja pääseb veebilehele HTTPS-i kaudu, kasutab brauser OCSP päringut, et kinnitada veebilehe sertifikaadi kehtivust.
Kui OCSP klammerdamine on lubatud, teeb OCSP päringud veebiserver ja veeb vahemällu päringu tulemused serverisse. Kui klient surub kätt veebiserveri TLS-iga, reageerib veeb otse kliendi OCSP-teabele ja sertifikaadile kliendi verifitseerimiseks, kõrvaldades vajaduse saata päringupäringuid CA-le, mis parandab oluliselt TLS-käepigistuse efektiivsust, säästab kasutaja autentimisaega ja optimeerib HTTPS-i kiirust. Kui soovid parandada sertifikaadi staatuse kontrolli efektiivsust HTTPS käepigistustes ja parandada veebilehe ligipääsu jõudlust, saad lubada OCSP sidumise.
Nagu näidatud järgmises joonises:
Veebipõhine sertifikaadi staatusprotokoll (OCSP)
Online Certificate Status Protocol (OCSP) loodi alternatiivina sertifikaatide tühistamise nimekirjale (CRL). Mõlemat protokolli kasutatakse selleks, et kontrollida, kas SSL-sertifikaat on tühistatud.
CRL-protokoll nõuab brauseritelt suure hulga SSL-sertifikaadi tühistamise infot: sertifikaadi seerianumbri ja iga sertifikaadi viimase väljalaskekuupäeva. CRL-protokolli probleem on see, et see võib pikendada SSL-läbirääkimiste aega.
OCSP protokoll kõrvaldab vajaduse brauseritel kulutada aega sertifikaaditeabe nimekirja allalaadimisele ja otsimisele. OCSP-s esitab brauser lihtsalt päringu, et saada vastus OCSP vastajalt (CA server, mis kuulab ja vastab OCSP päringutele) sertifikaadi tühistamise staatuse kohta.
OCSP sidumine
OCSP klammerdamine võib parandada OCSP protokolli, võimaldades veebimajutustel olla proaktiivsemad kliendi (sirvimise) kogemuse parandamisel. OCSP klammerdamine võimaldab sertifikaadi väljastajal (st veebiserveril) otse OCSP vastajalt päringut esitada ja seejärel vastuse vahemällu salvestada. Selle turvalise vahemälu vastus edastatakse koos TLS/SSL käepigistusega läbi Certificate Status Request laienduse, tagades, et brauser saab sama reageeriva jõudluse sertifikaadi oleku ja veebisaidi sisu saamisel.
OCSP klammerdamine lahendab OCSP-dPrivaatsuse küsimussest CA ei saa enam tühistamistaotlusi otse kliendilt (brauserilt). Brauser taotleb otse kolmanda osapoole CA-d (Certificate Authority),Veebilehe külastajad, kes avanevad (CA teab, millised kasutajad meie veebisaiti külastavad)。 OCSP klammerdamine lahendab ka OCSP SSL läbirääkimiste latentsuse, kõrvaldades vajaduse eraldi võrguühenduse järele CA vastusserveriga.
Kontrolli OCSP sidumist
Pakutakse kahte stsenaariumi, et kontrollida, kas OCSP sidumine on lubatud.
Veebilehe päring:Hüperlingi sisselogimine on nähtav., sisesta domeeninimi. Nagu allpool näidatud:
OCSP Staple: Hea tähendab lubatud, Not Enabled tähendab mitte lubatud.
Saad päringuid teha ka käsurea kaudu openssl tööriista kaudu, mis on järgmine:
OCSP vastus:Vastust ei saadetudEsindajad ei ole lubatud
OCSP vastuse staatus:edukas (0x0)Esindaja lubatud
Nagu allpool näidatud:
Seadista OCSP klammerdamine Nginx serveris
Muuda nginx domeeninime konfiguratsioonifaili nii, et lisada serverisõlme järgmised:
Pea meeles taaskäivitada nginx teenus pärast seadistamise lõpetamist.
Viide:
Hüperlingi sisselogimine on nähtav.
Hüperlingi sisselogimine on nähtav.
Hüperlingi sisselogimine on nähtav.
Hüperlingi sisselogimine on nähtav. |
Postitatud 2025-11-4 20:22:40
|
|
|
|
