Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Altre tecnologie Configurazione del server Sito web Nginx HTTPS ottimizzato per l'OCSP binding
Vista: 379|Risposta: 0

[Web] Sito web Nginx HTTPS ottimizzato per l'OCSP binding

[Copiato link]
Pubblicato su 04/11/2025 20:22:40 | | | |
Requisiti: Il sito web abilita la funzione OCSP, OCSP stapling è una delle soluzioni di ottimizzazione HTTPS, che inoltra la richiesta OCSP che inizialmente doveva essere avviata dal client in tempo reale al server, e l'area di servizio Nginx ottiene i risultati della query OCSP e li invia al client insieme al certificato, così che il client possa saltare il processo di ricerca dell'autenticazione e migliorare l'efficienza della handshake TLS. Le prestazioni HTTPS possono essere migliorate.

OCSP

OCSP (Online Certificate Status Protocol) è un protocollo di interrogazione online utilizzato per verificare la legittimità e la validità dei certificati, fornito dalla Digital Certificate Authority (CA). Ogni volta che un utente accede a un sito web tramite HTTPS, il browser utilizza una query OCSP per verificare che il certificato del sito sia valido.

Quando è abilitato lo stapling OCSP, le query OCSP vengono effettuate dal server web e il web memorizza in cache i risultati della query sul server. Quando il client stringe la mano al TLS del server web, il web risponde direttamente alle informazioni OCSP e al certificato del client per la verifica del client, eliminando la necessità che il client invii richieste di query alla CA, migliorando notevolmente l'efficienza della stretta di mano TLS, risparmiando tempo di autenticazione all'utente e ottimizzando la velocità HTTPS. Se vuoi migliorare l'efficienza della verifica dello stato dei certificati nelle handshake HTTPS e migliorare le prestazioni di accesso ai siti web, puoi abilitare il binding OCSP.

Come mostrato nella figura seguente:



Protocollo di Stato dei Certificati Online (OCSP)

Il Protocollo di Stato dei Certificati Online (OCSP) è stato creato come alternativa al protocollo Certificate Revocation List (CRL). Entrambi i protocolli vengono utilizzati per verificare se un certificato SSL è stato revocato.

Il protocollo CRL richiede ai browser di scaricare un gran numero di informazioni sulla revoca dei certificati SSL: il numero di serie del certificato e l'ultima data di rilascio di ciascun certificato. Il problema del protocollo CRL è che può estendere il tempo necessario per le negoziazioni SSL.

Il protocollo OCSP elimina la necessità per i browser di dedicare tempo a scaricare e cercare in un elenco di informazioni sui certificati. Con OCSP, il browser semplicemente invia una query per ricevere una risposta dal rispondente OCSP (il server della CA che ascolta e risponde specificamente alle richieste OCSP) riguardo allo stato della revoca del certificato.

Binding OCSP

OCSP Stapling può migliorare il protocollo OCSP permettendo agli host di siti web di essere più proattivi nel migliorare l'esperienza del cliente (navigazione). OCSP Stapling consente all'emittente del certificato (cioè il server web) di interrogare direttamente il rispondente OCSP e poi memorizzare in cache la risposta. La risposta da questa cache sicura viene poi trasmessa insieme al handshake TLS/SSL tramite l'estensione Certificate Status Request, assicurando che il browser ottenga le stesse prestazioni reattive quando si ottiene lo stato del certificato e il contenuto del sito web.

OCSP Stapling risolve i problemi di OCSPUna questione di privacyperché la CA non riceve più richieste di revoca direttamente dal client (browser). Il browser richiede direttamente una CA di terze parti (Autorità di Certificazione),I visitatori del sito saranno esposti (l'AC saprà quali utenti visitano il nostro sito)。 OCSP Stapling affronta anche la latenza di negoziazione SSL di OCSP eliminando la necessità di una connessione di rete separata al server di risposta CA.

Controlla la rilegatura OCSP

Sono previsti due scenari per verificare se l'OCSP binding è abilitato.

Richiesta sul sito web:Il login del link ipertestuale è visibile., inserisci il nome di dominio. Come mostrato di seguito:



OCSP Base: Buono significa abilitato, Non abilitato significa non abilitato.

Puoi anche fare query tramite la riga di comando tramite lo strumento openssl, che è il seguente:

Risposta OCSP:Nessuna risposta inviataI rappresentanti non sono abilitati
Stato della risposta OCSP:Successo (0x0)Abilitato rappresentativo

Come mostrato di seguito:



Configura OCSP Stapling sul server Nginx

Modifica il file di configurazione della conf del nome di dominio nginx per aggiungere quanto segue al nodo server:

Ricorda di riavviare il servizio nginx dopo che la configurazione è completata.

Riferimento:

Il login del link ipertestuale è visibile.
Il login del link ipertestuale è visibile.
Il login del link ipertestuale è visibile.
Il login del link ipertestuale è visibile.




Precedente:Integrato nell'azienda: WeChat scansione funzione di login del codice report Problema evento
Prossimo:ASP.NET Core (33) Download Output File (nome file cinese)

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com