この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。

Architect_Programmer_Code農業ネットワーク»建築家 その他の技術 サーバー構成 Nginxウェブサイト HTTPS最適化OCSPバインディング
眺める: 259|答える: 0

[ウェブ] Nginxウェブサイト HTTPS最適化OCSPバインディング

[リンクをコピー]
2025年11月4日 20:22:40に投稿 | | | |
要件:ウェブサイトはOCSP機能を有効にし、OCSPステープリングはHTTPS最適化ソリューションの一つであり、クライアントがリアルタイムで開始する必要だったOCSPリクエストをサーバーに転送します。また、NginxサービスエリアはOCSPクエリ結果を取得し、証明書とともにクライアントに送信します。これにより、クライアントは認証を求めるプロセスを省略し、TLSハンドシェイクの効率性を向上させます。 HTTPSのパフォーマンスは改善可能です。

OCSP

OCSP(オンライン証明書ステータスプロトコル)は、デジタル証明書局(CA)が提供する証明書の正当性と有効性を検証するためのオンラインクエリプロトコルです。 ユーザーがHTTPS経由でウェブサイトにアクセスするたびに、ブラウザはOCSPクエリを使ってウェブサイトの証明書が有効かどうかを検証します。

OCSPステープリングが有効になると、OCSPクエリはウェブサーバーによって行われ、ウェブはクエリ結果をサーバーにキャッシュします。 クライアントがウェブサーバーTLSと握手すると、ウェブはクライアントのOCSP情報と証明書に直接応答し、クライアントがCAにクエリリクエストを送信する必要がなくなり、TLSハンドシェアの効率が大幅に向上し、ユーザー認証時間を節約し、HTTPS速度を最適化します。 HTTPSハンドシェイクでの証明書状態確認の効率を高め、ウェブサイトアクセス性能を向上させたい場合は、OCSPバインディングを有効にすることができます。

以下の図に示されています:



オンライン証明書ステータスプロトコル(OCSP)

オンライン証明書ステータスプロトコル(OCSP)は、証明書取り消しリスト(CRL)プロトコルの代替として作成されました。 両方のプロトコルは、SSL証明書が取り消されたかどうかを確認するために使われます。

CRLプロトコルでは、ブラウザは多数のSSL証明書の取り消し情報、すなわち証明書のシリアル番号や各証明書の最終リリース日をダウンロードする必要があります。 CRLプロトコルの問題は、SSL交渉にかかる時間を延長してしまうことです。

OCSPプロトコルにより、ブラウザが証明書情報のリストをダウンロードして検索する手間がなくなります。 OCSPでは、ブラウザは単にOCSPレスポンダー(OCSPリクエストを特に受信し応答するCAのサーバー)から証明書の取り消しの状態について応答を受けるクエリを発行します。

OCSP結合

OCSPステープリングは、ウェブサイトホストがクライアント(ブラウジング)体験をより積極的に改善できるようにすることで、OCSPプロトコルを強化します。 OCSPステープリングは、証明書発行者(すなわちウェブサーバー)がOCSPレスポンダーに直接クエリし、レスポンスをキャッシュできるようにします。 この安全なキャッシュからの応答は、TLS/SSLハンドシェイクとともにCertificate Status Request拡張機能を通じて渡され、証明書の状態やウェブサイトの内容を取得する際にブラウザが同じレスポンシブ性能を得ることが保証されます。

OCSPホチキスはOCSPを解決しますプライバシーの問題なぜなら、CAはもはやクライアント(ブラウザ)から直接取り消し要求を受け取っていないからです。 ブラウザは直接第三者のCA(証明書発行機関)を要求します。公開されるウェブサイトの訪問者(CAは当サイトを訪れているユーザーを把握します)。 OCSPステイプリングはまた、CAレスポンスサーバーへの別途ネットワーク接続の必要をなくすことで、OCSP SSLネゴシエーション遅延にも対応します。

OCSPのバインディングを確認してください

OCSPバインディングが有効かどうかを確認するための2つのシナリオが用意されています。

オンラインウェブサイトの問い合わせ:ハイパーリンクのログインが見えます。ドメイン名を入力してください。 以下に示すように:



OCSPの定番:良いとは有効、非有効は有効でないことを意味します。

また、opensslツールのコマンドラインを使ってクエリすることもできます。こちらは以下の通りです:

OCSPの回答:返答はありません代表者は権限がありません
OCSPの対応状況:成功(0x0)代表者対応

以下に示すように:



NginxサーバーでOCSPステープリングを設定する

nginxドメイン名のコンフィケーションファイルを変更し、サーバーノードに以下を追加してください:

設定が完了したら必ずnginxサービスを再起動してください。

参考:

ハイパーリンクのログインが見えます。
ハイパーリンクのログインが見えます。
ハイパーリンクのログインが見えます。
ハイパーリンクのログインが見えます。




先の:エンタープライズWeChatに埋め込まれたスキャンコードログイン機能 reportEvent issue
次に:ASP.NET コア(33)ファイル出力ダウンロード(中国語ファイル名)

関連記事
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com