Artikel ini adalah artikel cermin dari terjemahan mesin, silakan klik di sini untuk melompat ke artikel aslinya.

Jaringan Pertanian Architect_Programmer_Code»Arsitek Teknologi Lainnya Konfigurasi server Pengikatan OCSP yang dioptimalkan HTTPS situs web Nginx
Melihat: 259|Jawab: 0

[Situs web] Pengikatan OCSP yang dioptimalkan HTTPS situs web Nginx

[Salin tautan]
Dipaparkan pada 2025-11-4 20:22:40 | | | |
Persyaratan: Situs web mengaktifkan fungsi OCSP, stapling OCSP adalah salah satu solusi pengoptimalan HTTPS, yang meneruskan permintaan OCSP yang awalnya diperlukan untuk dimulai oleh klien secara real time ke server, dan area layanan Nginx memperoleh hasil kueri OCSP dan mengirimkannya ke klien bersama dengan sertifikat, sehingga klien dapat melewati proses mencari otentikasi dan meningkatkan efisiensi jabat tangan TLS. Performa HTTPS dapat ditingkatkan.

OCSP

OCSP (Online Certificate Status Protocol) adalah protokol kueri online yang digunakan untuk memverifikasi legitimasi dan validitas sertifikat, yang disediakan oleh Digital Certificate Authority (CA). Setiap kali pengguna mengakses situs web melalui HTTPS, browser menggunakan kueri OCSP untuk memverifikasi bahwa sertifikat situs web tersebut valid.

Saat penjepitan OCSP diaktifkan, kueri OCSP dilakukan oleh server web, dan web menyimpan hasil kueri dalam cache ke server. Saat klien berjabat tangan dengan TLS server web, web secara langsung merespons informasi OCSP klien dan sertifikat untuk verifikasi klien, menghilangkan kebutuhan klien untuk mengirim permintaan kueri ke CA, yang sangat meningkatkan efisiensi jabat tangan TLS, menghemat waktu autentikasi pengguna, dan mengoptimalkan kecepatan HTTPS. Jika Anda ingin meningkatkan efisiensi verifikasi status sertifikat dalam jabat tangan HTTPS dan meningkatkan performa akses situs web, Anda dapat mengaktifkan pengikatan OCSP.

Seperti yang ditunjukkan pada gambar berikut:



Protokol Status Sertifikat Online (OCSP)

Protokol Status Sertifikat Online (OCSP) dibuat sebagai alternatif dari protokol Daftar Pencabutan Sertifikat (CRL). Kedua protokol digunakan untuk memeriksa apakah sertifikat SSL telah dicabut.

Protokol CRL mengharuskan browser untuk mengunduh sejumlah besar informasi pencabutan sertifikat SSL: nomor seri sertifikat dan tanggal rilis terakhir setiap sertifikat. Masalah dengan protokol CRL adalah dapat memperpanjang waktu yang dibutuhkan untuk negosiasi SSL.

Protokol OCSP menghilangkan kebutuhan browser untuk menghabiskan waktu mengunduh dan mencari melalui daftar informasi sertifikat. Dengan OCSP, browser hanya mengeluarkan kueri untuk menerima respons dari responden OCSP (server CA yang secara khusus mendengarkan dan merespons permintaan OCSP) tentang status pencabutan sertifikat.

Pengikatan OCSP

OCSP Stapling dapat meningkatkan protokol OCSP dengan memungkinkan host situs web untuk lebih proaktif dalam meningkatkan pengalaman klien (penjelajahan). OCSP Stapling memungkinkan penerbit sertifikat (yaitu, server web) untuk mengkueri responden OCSP secara langsung dan kemudian meng-cache respons. Respons dari cache aman ini kemudian diteruskan bersama dengan jabat tangan TLS/SSL melalui ekstensi Permintaan Status Sertifikat, memastikan bahwa browser mendapatkan performa responsif yang sama saat mendapatkan status sertifikat dan konten situs web.

OCSP Stapling memecahkan OCSPMasalah privasikarena CA tidak lagi menerima permintaan pencabutan langsung dari klien (browser). Browser secara langsung meminta CA (Otoritas Sertifikat) pihak ketiga,Pengunjung situs web yang akan diekspos (CA akan mengetahui pengguna mana yang mengunjungi situs web kami)。 OCSP Stapling juga mengatasi latensi negosiasi SSL OCSP dengan menghilangkan kebutuhan akan koneksi jaringan terpisah ke server respons CA.

Periksa pengikatan OCSP

Dua skenario disediakan untuk memeriksa apakah pengikatan OCSP diaktifkan.

Pertanyaan situs web online:Login hyperlink terlihat., masukkan nama domain. Seperti yang ditunjukkan di bawah ini:



OCSP Staple: Baik berarti diaktifkan, Tidak Diaktifkan berarti tidak diaktifkan.

Anda juga dapat mengkueri menggunakan baris perintah melalui alat openssl, yaitu sebagai berikut:

Tanggapan OCSP:Tidak ada tanggapan yang dikirimPerwakilan tidak diaktifkan
Status Respons OCSP:berhasil (0x0)Perwakilan diaktifkan

Seperti yang ditunjukkan di bawah ini:



Konfigurasikan OCSP Stapling di server Nginx

Ubah file konfigurasi conf nama domain nginx untuk menambahkan yang berikut ini ke simpul server:

Ingatlah untuk memulai ulang layanan nginx setelah konfigurasi selesai.

Referensi:

Login hyperlink terlihat.
Login hyperlink terlihat.
Login hyperlink terlihat.
Login hyperlink terlihat.




Mantan:Tertanam dalam laporan fungsi login kode pemindaian WeChat perusahaanMasalah peristiwa
Depan:ASP.NET Core (33) File Output Download (nama file Cina)

Pos terkait
Sanggahan:
Semua perangkat lunak, materi pemrograman, atau artikel yang diterbitkan oleh Code Farmer Network hanya untuk tujuan pembelajaran dan penelitian; Konten di atas tidak boleh digunakan untuk tujuan komersial atau ilegal, jika tidak, pengguna akan menanggung semua konsekuensi. Informasi di situs ini berasal dari Internet, dan sengketa hak cipta tidak ada hubungannya dengan situs ini. Anda harus sepenuhnya menghapus konten di atas dari komputer Anda dalam waktu 24 jam setelah pengunduhan. Jika Anda menyukai program ini, harap dukung perangkat lunak asli, pembelian pendaftaran, dan dapatkan layanan asli yang lebih baik. Jika ada pelanggaran, silakan hubungi kami melalui email.
Mail To:help@itsvse.com