Vaatimukset: Verkkosivusto mahdollistaa OCSP-toiminnon, OCSP-nitous on yksi HTTPS-optimointiratkaisuista, joka välittää asiakkaan alkuperäisen reaaliaikaisen OCSP-pyynnön palvelimelle, ja Nginx-palvelualue saa OCSP-kyselytulokset ja lähettää ne asiakkaalle sertifikaatin mukana, jotta asiakas voi ohittaa todennushakuprosessin ja parantaa TLS-kättelyn tehokkuutta. HTTPS-suorituskykyä voidaan parantaa.
OCSP
OCSP (Online Certificate Status Protocol) on verkkokyselyprotokolla, jota käytetään varmenteiden laillisuuden ja pätevyyden varmistamiseen, ja jonka toimittaa Digital Certificate Authority (CA). Joka kerta kun käyttäjä käyttää verkkosivustoa HTTPS:n kautta, selain käyttää OCSP-kyselyä varmistaakseen, että sivuston varmenne on voimassa.
Kun OCSP-nitous on käytössä, OCSP-kyselyt suorittaa verkkopalvelin, ja verkko välimuistittaa kyselyn tulokset palvelimelle. Kun asiakas kättelee verkkopalvelimen TLS:ää, verkko vastaa suoraan asiakkaan OCSP-tietoihin ja varmenteisiin asiakkaan varmennuksessa, jolloin asiakkaan ei tarvitse lähettää kyselypyyntöjä CA:lle, mikä parantaa TLS-kädenpuristuksen tehokkuutta huomattavasti, säästää käyttäjän todennusaikaa ja optimoi HTTPS-nopeuden. Jos haluat parantaa sertifikaattien tilan varmennuksen tehokkuutta HTTPS-handshakeissa ja parantaa verkkosivuston käyttökykyä, voit ottaa käyttöön OCSP-sidonnan.
Kuten seuraavassa kuvassa näkyy:
Online-sertifikaatin tilaprotokolla (OCSP)
Online Certificate Status Protocol (OCSP) luotiin vaihtoehdoksi Certificate Revocation List (CRL) -protokollalle. Molempia protokollia käytetään tarkistamaan, onko SSL-sertifikaatti peruutettu.
CRL-protokolla vaatii selaimia lataamaan suuren määrän SSL-sertifikaatin peruutustietoja: sertifikaatin sarjanumeron ja kunkin varmenteen viimeisimmän julkaisupäivän. CRL-protokollan ongelma on, että se voi pidentää SSL-neuvottelujen aikaa.
OCSP-protokolla poistaa tarpeen selaajien käyttää aikaa varmennetietojen lataamiseen ja selaamiseen. OCSP:ssä selain lähettää yksinkertaisesti kyselyn saadakseen vastauksen OCSP-vastaajalta (CA:n palvelin, joka kuuntelee ja vastaa erityisesti OCSP-pyyntöihin) sertifikaatin peruutuksen tilasta.
OCSP-sitoutuminen
OCSP Stapling voi parantaa OCSP-protokollaa antamalla verkkosivustojen isännöille mahdollisuuden olla aktiivisempia asiakaskokemuksen (selaus) parantamiseksi. OCSP-niittaus mahdollistaa varmenteen myöntäjän (eli web-palvelimen) kyselyn suoraan OCSP-vastaajalta ja vastauksen välimuistittamisen. Tämän suojatun välimuistin vastaus välitetään TLS/SSL-kädenpuristuksen mukana Certificate Status Request -laajennuksen kautta, varmistaen, että selain saa saman responsiivisen suorituskyvyn varmenteen tilan ja verkkosivuston sisällön hakiessa.
OCSP:n nitoaminen ratkaisee OCSP:tYksityisyysongelmakoska CA ei enää vastaanota peruutuspyyntöjä suoraan asiakkaalta (selaimelta). Selain pyytää suoraan kolmannen osapuolen CA:ta (Certificate Authority),Verkkosivuston kävijät, jotka paljastuvat (CA tietää, ketkä käyttäjät vierailevat sivustollamme)。 OCSP:n nitoaminen korjaa myös OCSP:n SSL-neuvotteluviivettä poistamalla tarpeen erilliselle verkkoyhteydelle CA-vastepalvelimelle.
Tarkista OCSP-sidonta
Kaksi skenaariota on esitetty tarkistamaan, onko OCSP-sitominen käytössä.
Verkkosivuston tiedustelu:Hyperlinkin kirjautuminen on näkyvissä., syötä verkkotunnus. Kuten alla on esitetty:
OCSP Staple: Hyvä tarkoittaa käytössä, Ei käytössä tarkoittaa, ettei käytössä.
Voit myös tehdä kyselyn komentorivin kautta openssl-työkalun kautta, joka on seuraava:
OCSP:n vastaus:Ei vastaustaEdustajat eivät ole käytössä
OCSP:n vastetila:onnistunut (0x0)Edustaja päällä
Kuten alla on esitetty:
Määritä OCSP-nitous Nginx-palvelimella
Muokkaa nginx-verkkotunnuksen konfiguraatiotiedostoa lisäämällä palvelinsolmuun seuraava:
Muista käynnistää nginx-palvelu uudelleen, kun konfigurointi on valmis.
Viittaus:
Hyperlinkin kirjautuminen on näkyvissä.
Hyperlinkin kirjautuminen on näkyvissä.
Hyperlinkin kirjautuminen on näkyvissä.
Hyperlinkin kirjautuminen on näkyvissä. |
Julkaistu 2025-11-4 klo 20:22:40
|
|
|
|
