Reikalavimai: Svetainėje įgalinama OCSP funkcija, OCSP susegimas yra vienas iš HTTPS optimizavimo sprendimų, kuris realiuoju laiku perduoda OCSP užklausą, kurią iš pradžių turėjo inicijuoti klientas, į serverį, o "Nginx" aptarnavimo sritis gauna OCSP užklausos rezultatus ir siunčia juos klientui kartu su sertifikatu, kad klientas galėtų praleisti autentifikavimo procesą ir pagerinti TLS rankos paspaudimo efektyvumą. HTTPS našumą galima pagerinti.
OCSP
OCSP (Online Certificate Status Protocol) yra internetinis užklausų protokolas, naudojamas sertifikatų teisėtumui ir galiojimui patikrinti, kurį teikia Skaitmeninio sertifikavimo institucija (CA). Kiekvieną kartą, kai vartotojas prisijungia prie svetainės per HTTPS, naršyklė naudoja OCSP užklausą, kad patikrintų, ar svetainės sertifikatas galioja.
Kai OCSP susegimas įjungtas, OCSP užklausas atlieka žiniatinklio serveris, o žiniatinklis užklausos rezultatus saugo serveryje. Kai klientas paspaudžia ranką žiniatinklio serveriui TLS, žiniatinklis tiesiogiai reaguoja į kliento OCSP informaciją ir kliento patvirtinimo sertifikatą, todėl klientui nereikia siųsti užklausų CA, o tai labai pagerina TLS rankos paspaudimo efektyvumą, taupo vartotojo autentifikavimo laiką ir optimizuoja HTTPS greitį. Jei norite pagerinti sertifikato būsenos tikrinimo efektyvumą HTTPS rankų paspaudimuose ir pagerinti prieigos prie svetainės našumą, galite įjungti OCSP susiejimą.
Kaip parodyta šiame paveikslėlyje:
Internetinio sertifikato būsenos protokolas (OCSP)
Internetinio sertifikato būsenos protokolas (OCSP) buvo sukurtas kaip alternatyva sertifikatų atšaukimo sąrašo (CRL) protokolui. Abu protokolai naudojami patikrinti, ar SSL sertifikatas buvo atšauktas.
CRL protokolas reikalauja, kad naršyklės atsisiųstų daug SSL sertifikato atšaukimo informacijos: sertifikato serijos numerį ir kiekvieno sertifikato paskutinio išleidimo datą. CRL protokolo problema yra ta, kad jis gali prailginti SSL derybų laiką.
OCSP protokolas pašalina poreikį naršyklėms gaišti laiką atsisiunčiant ir ieškant sertifikato informacijos sąrašo. Naudojant OCSP, naršyklė tiesiog pateikia užklausą, kad gautų atsakymą iš OCSP atsakiklio (CA serverio, kuris konkrečiai klausosi ir atsako į OCSP užklausas) apie sertifikato atšaukimo būseną.
OCSP įrišimas
OCSP susegimas gali patobulinti OCSP protokolą, leisdamas svetainių priegloboms aktyviau gerinti kliento (naršymo) patirtį. OCSP susegimas leidžia sertifikato išdavėjui (t. y. žiniatinklio serveriui) tiesiogiai užklausti OCSP atsakiklio ir išsaugoti atsakymą talpykloje. Tada atsakymas iš šios saugios talpyklos perduodamas kartu su TLS/SSL rankos paspaudimu per sertifikato būsenos užklausos plėtinį, užtikrinant, kad naršyklė gautų tokį patį reagavimą gaunant sertifikato būseną ir svetainės turinį.
OCSP susegimas išsprendžia OCSP problemasPrivatumo problemanes CA nebegauna atšaukimo užklausų tiesiogiai iš kliento (naršyklės). Naršyklė tiesiogiai prašo trečiosios šalies CA (sertifikavimo institucijos),Svetainės lankytojai, kurie bus rodomi (CA žinos, kurie vartotojai lankosi mūsų svetainėje)。 OCSP susegimas taip pat sprendžia OCSP SSL derybų delsą, pašalindamas atskiro tinklo ryšio su CA atsakymo serveriu poreikį.
Patikrinkite OCSP įrišimą
Pateikiami du scenarijai, kaip patikrinti, ar OCSP susiejimas įjungtas.
Internetinė svetainės užklausa:Hipersaito prisijungimas matomas., įveskite domeno vardą. Kaip parodyta žemiau:
OCSP susegimas: geras reiškia įjungtas, neįjungtas reiškia, kad neįjungtas.
Taip pat galite užklausti naudodami komandinę eilutę naudodami openssl įrankį, kuris yra toks:
OCSP atsakymas:Atsakymas neišsiųstasAtstovai neįgalinti
OCSP atsakymo būsena:sėkmingas (0x0)Įgalintas atstovas
Kaip parodyta žemiau:
Konfigūruokite OCSP susegimą Nginx serveryje
Pakeiskite nginx domeno vardo konfigūracijos failą, kad į serverio mazgą pridėtumėte:
Nepamirškite iš naujo paleisti nginx paslaugos, kai konfigūracija bus baigta.
Nuoroda:
Hipersaito prisijungimas matomas.
Hipersaito prisijungimas matomas.
Hipersaito prisijungimas matomas.
Hipersaito prisijungimas matomas. |
Paskelbta 2025-11-4 20:22:40
|
|
|
|
