Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Autres technologies Configuration du serveur Site web Nginx compatible avec la liaison OCSP HTTPS
Vue: 259|Répondre: 0

[Web] Site web Nginx compatible avec la liaison OCSP HTTPS

[Copié le lien]
Publié le 4-11-2025 à 20:22:40 | | | |
Exigences : Le site web active la fonction OCSP, l’agrafage OCSP est l’une des solutions d’optimisation HTTPS, qui transmet la requête OCSP initialement nécessaire pour le client en temps réel vers le serveur, et la zone de service Nginx obtient les résultats de la requête OCSP et les envoie au client avec le certificat, afin que le client puisse éviter le processus d’authentification et améliorer l’efficacité de la poignée TLS. Les performances HTTPS peuvent être améliorées.

OCSP

OCSP (Online Certificate Status Protocol) est un protocole de requête en ligne utilisé pour vérifier la légitimité et la validité des certificats, fourni par la Digital Certificate Authority (CA). Chaque fois qu’un utilisateur accède à un site web via HTTPS, le navigateur utilise une requête OCSP pour vérifier que le certificat du site est valide.

Lorsque l’agrafage OCSP est activé, les requêtes OCSP sont effectuées par le serveur web, et le web met en cache les résultats de la requête sur le serveur. Lorsque le client serre la main du TLS du serveur web, le web répond directement aux informations OCSP et au certificat du client pour la vérification client, éliminant ainsi la nécessité pour le client d’envoyer des requêtes à la CA, ce qui améliore considérablement l’efficacité de la poignée de main TLS, permet de gagner du temps d’authentification utilisateur et d’optimiser la vitesse HTTPS. Si vous souhaitez améliorer l’efficacité de la vérification du statut des certificats dans les poignées de main HTTPS et améliorer les performances d’accès aux sites web, vous pouvez activer la liaison OCSP.

Comme le montre la figure suivante :



Protocole de statut des certificats en ligne (OCSP)

Le protocole de statut des certificats en ligne (OCSP) a été créé comme une alternative au protocole Certificate Revocation List (CRL). Les deux protocoles sont utilisés pour vérifier si un certificat SSL a été révoqué.

Le protocole CRL exige que les navigateurs téléchargent un grand nombre d’informations sur la révocation des certificats SSL : le numéro de série du certificat et la date de publication de chaque certificat. Le problème avec le protocole CRL est qu’il peut prolonger le temps nécessaire pour les négociations SSL.

Le protocole OCSP élimine le besoin pour les navigateurs de passer du temps à télécharger et à rechercher une liste d’informations sur les certificats. Avec OCSP, le navigateur envoie simplement une requête pour recevoir une réponse du répondant OCSP (le serveur de la CA qui écoute et répond spécifiquement aux requêtes OCSP) concernant le statut de la révocation du certificat.

Liaison OCSP

OCSP Stapling peut améliorer le protocole OCSP en permettant aux hébergeurs de sites web d’être plus proactifs pour améliorer l’expérience client (navigation). OCSP Stapling permet à l’émetteur du certificat (c’est-à-dire le serveur web) d’interroger directement le répondeur OCSP puis de mettre la réponse en cache en cache. La réponse de ce cache sécurisé est ensuite transmise avec la négociation TLS/SSL via l’extension Certificate Status Request, garantissant ainsi que le navigateur obtient les mêmes performances réactives lors de l’obtention de l’état du certificat et du contenu du site.

OCSP Stapling résout les problèmes d’OCSPUne question de confidentialitécar l’AC ne reçoit plus les demandes de révocation directement du client (navigateur). Le navigateur demande directement une autorité de certification tierce,Les visiteurs du site web qui seront exposés (l’autorité de certification saura quels utilisateurs visitent notre site)。 OCSP Stapling répond également à la latence de négociation SSL OCSP en éliminant le besoin d’une connexion réseau séparée au serveur de réponse de l’AC.

Vérifiez la liaison OCSP

Deux scénarios sont proposés pour vérifier si la liaison OCSP est activée.

Demande sur un site web en ligne :La connexion hyperlientérée est visible., entrez le nom de domaine. Comme montré ci-dessous :



Classique OCSP : Bon signifie activé, Non activé signifie non activé.

Vous pouvez également interroger en ligne de commande via l’outil openssl, qui est le suivant :

Réponse de l’OCSP :Aucune réponse envoyéeLes représentants ne sont pas habilités
Statut de la réponse OCSP :Réussi (0x0)Activation du représentant

Comme montré ci-dessous :



Configurez OCSP Stapling sur le serveur Nginx

Modifiez le fichier de configuration conf du nom de domaine nginx pour ajouter ce qui suit au nœud serveur :

N’oubliez pas de redémarrer le service nginx une fois la configuration terminée.

Référence:

La connexion hyperlientérée est visible.
La connexion hyperlientérée est visible.
La connexion hyperlientérée est visible.
La connexion hyperlientérée est visible.




Précédent:Intégré dans la fonction de connexion de code de balayage WeChat d’entrepriseRapport d’événement
Prochain:ASP.NET Téléchargement de fichier Core (33) (nom de fichier chinois)

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com