이 글은 기계 번역의 미러 문서이며, 원본 기사로 바로 이동하려면 여기를 클릭해 주세요.

Architect_Programmer_Code 농업 네트워크»건축가 기타 기술 서버 구성 Nginx 웹사이트 HTTPS 최적화 OCSP 바인딩
보기: 259|회답: 0

[웹] Nginx 웹사이트 HTTPS 최적화 OCSP 바인딩

[링크 복사]
2025-11-4 20:22:40에 게시됨 | | | |
요구사항: 웹사이트는 OCSP 기능을 활성화하며, OCSP 스테이플링은 HTTPS 최적화 솔루션 중 하나로, 원래 클라이언트가 실시간으로 시작해야 했던 OCSP 요청을 서버로 전달합니다. Nginx 서비스 영역은 OCSP 쿼리 결과를 받아 인증서와 함께 클라이언트에게 전송하여 클라이언트가 인증 요청을 건너뛰고 TLS 핸드셰이크의 효율성을 높일 수 있도록 합니다. HTTPS 성능은 개선될 수 있습니다.

OCSP

OCSP(온라인 인증서 상태 프로토콜)는 디지털 인증 기관(CA)에서 제공하는 인증서의 정당성과 유효성을 검증하는 데 사용되는 온라인 조회 프로토콜입니다. 사용자가 HTTPS를 통해 웹사이트에 접속할 때마다 브라우저는 OCSP 쿼리를 사용하여 웹사이트 인증서가 유효한지 확인합니다.

OCSP 스테이플링이 활성화되면 OCSP 쿼리는 웹 서버에서 수행되며, 웹은 쿼리 결과를 서버에 캐시합니다. 클라이언트가 웹 서버 TLS와 악수하면 웹이 클라이언트의 OCSP 정보와 인증서에 직접 응답하여 클라이언트 검증을 수행하여, 클라이언트가 CA에 쿼리 요청을 보낼 필요가 없어져 TLS 핸드셰이크의 효율이 크게 향상되고 사용자 인증 시간을 절약하며 HTTPS 속도를 최적화합니다. HTTPS 핸드셰이크에서 인증서 상태 검증의 효율성을 높이고 웹사이트 접근 성능을 향상시키고 싶다면 OCSP 바인딩을 활성화할 수 있습니다.

아래 그림에서 볼 수 있듯이:



온라인 인증서 상태 프로토콜(OCSP)

온라인 인증서 상태 프로토콜(OCSP)은 인증서 취소 목록(CRL) 프로토콜의 대안으로 만들어졌습니다. 두 프로토콜 모두 SSL 인증서가 취소되었는지 확인하는 데 사용됩니다.

CRL 프로토콜은 브라우저가 인증서 일련번호와 각 인증서의 마지막 릴리스일 등 대량의 SSL 인증서 취소 정보를 다운로드하도록 요구합니다. CRL 프로토콜의 문제는 SSL 협상에 걸리는 시간을 연장할 수 있다는 점입니다.

OCSP 프로토콜은 브라우저가 인증서 정보 목록을 다운로드하고 검색하는 데 시간을 들일 필요를 없애줍니다. OCSP에서는 브라우저가 단순히 OCSP 응답자(OCSP 요청을 특별히 듣고 응답하는 서버)로부터 인증서 취소 상태에 대한 응답을 받기 위해 쿼리를 발행합니다.

OCSP 바인딩

OCSP 스테이플링은 웹사이트 호스트가 클라이언트(탐색) 경험을 더 적극적으로 개선할 수 있도록 하여 OCSP 프로토콜을 향상시킬 수 있습니다. OCSP 스테이플링은 인증서 발급자(즉, 웹 서버)가 OCSP 응답자에게 직접 쿼리하고 응답을 캐시할 수 있게 합니다. 이 보안 캐시에서 나오는 응답은 TLS/SSL 핸드셰이크와 함께 인증서 상태 요청 확장 기능을 통해 전달되어, 브라우저가 인증서 상태와 웹사이트 내용을 받을 때 동일한 반응 성능을 보장합니다.

OCSP 스테이플링은 OCSP를 해결합니다개인정보 보호 문제입니다CA가 더 이상 클라이언트(브라우저)로부터 직접 취소 요청을 받지 않기 때문입니다. 브라우저는 직접 제3자 CA(인증 기관)를 요청합니다.노출될 웹사이트 방문자 (CA는 어떤 사용자가 우리 웹사이트를 방문하는지 알 수 있습니다)。 OCSP 스테이플링은 또한 CA 응답 서버와의 별도의 네트워크 연결이 필요 없애 OCSP SSL 협상 지연 시간을 해결합니다.

OCSP 바인딩을 확인해 보세요

OCSP 바인딩이 활성화되었는지 확인하기 위해 두 가지 시나리오가 제공됩니다.

온라인 웹사이트 문의:하이퍼링크 로그인이 보입니다.도메인 이름을 입력하세요. 아래에 나와 있습니다:



OCSP 기본 기능: 좋다는 것은 활성화된 상태를 의미하고, 활성화되지 않음은 활성화되지 않음을 의미합니다.

또한 openssl 도구를 통해 명령줄로 쿼리할 수도 있는데, 방법은 다음과 같습니다:

OCSP 답변:답변이 없었어요대표는 권한이 없습니다
OCSP 응답 상태:성공 (0x0)대표자 사용 가능

아래에 나와 있습니다:



Nginx 서버에서 OCSP 스테이플링 설정

nginx 도메인 이름 conf config 파일을 수정하여 서버 노드에 다음 사항을 추가하세요:

설정이 완료된 후에는 nginx 서비스를 재시작하는 것을 잊지 마세요.

참조:

하이퍼링크 로그인이 보입니다.
하이퍼링크 로그인이 보입니다.
하이퍼링크 로그인이 보입니다.
하이퍼링크 로그인이 보입니다.




이전의:기업 내 WeChat 스캐닝 코드 로그인 기능 reportEvent 문제
다음:ASP.NET 코어 (33) 파일 출력 다운로드 (중국어 파일명)

관련 게시물
면책 조항:
Code Farmer Network에서 발행하는 모든 소프트웨어, 프로그래밍 자료 또는 기사는 학습 및 연구 목적으로만 사용됩니다; 위 내용은 상업적 또는 불법적인 목적으로 사용되지 않으며, 그렇지 않으면 모든 책임이 사용자에게 부담됩니다. 이 사이트의 정보는 인터넷에서 가져온 것이며, 저작권 분쟁은 이 사이트와는 관련이 없습니다. 위 내용은 다운로드 후 24시간 이내에 컴퓨터에서 완전히 삭제해야 합니다. 프로그램이 마음에 드신다면, 진짜 소프트웨어를 지원하고, 등록을 구매하며, 더 나은 진짜 서비스를 받아주세요. 침해가 있을 경우 이메일로 연락해 주시기 바랍니다.
Mail To:help@itsvse.com