Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Andre teknologier Serverkonfigurasjon Nginx-nettside HTTPS-optimalisert OCSP-binding
Utsikt: 259|Svare: 0

[Web] Nginx-nettside HTTPS-optimalisert OCSP-binding

[Kopier lenke]
Publisert 4.11.2025 kl. 20:22:40 | | | |
Krav: Nettstedet aktiverer OCSP-funksjonen, OCSP-stapling er en av HTTPS-optimaliseringsløsningene, som videresender OCSP-forespørselen som opprinnelig måtte initieres av klienten i sanntid til serveren, og Nginx-tjenesteområdet henter OCSP-spørringsresultatene og sender dem til klienten sammen med sertifikatet, slik at klienten kan hoppe over prosessen med å søke autentisering og forbedre effektiviteten til TLS-håndtrykket. HTTPS-ytelsen kan forbedres.

OCSP

OCSP (Online Certificate Status Protocol) er en nettbasert spørringsprotokoll som brukes til å verifisere legitimiteten og gyldigheten til sertifikater, levert av Digital Certificate Authority (CA). Hver gang en bruker får tilgang til et nettsted via HTTPS, bruker nettleseren en OCSP-spørring for å verifisere at nettstedets sertifikat er gyldig.

Når OCSP-stifting er aktivert, utføres OCSP-spørringene av webserveren, og weben cacher spørringsresultatene til serveren. Når klienten håndhilser på webserverens TLS, svarer nettet direkte på klientens OCSP-informasjon og sertifikat for klientverifisering, noe som eliminerer behovet for å sende spørringsforespørsler til CA, noe som i stor grad forbedrer effektiviteten til TLS-håndtrykket, sparer tid for brukerautentisering og optimaliserer HTTPS-hastigheten. Hvis du ønsker å forbedre effektiviteten av sertifikatstatusverifisering i HTTPS-håndtrykk og forbedre ytelsen til nettsidetilgangen, kan du aktivere OCSP-binding.

Som vist i følgende figur:



Online Sertifikatstatusprotokoll (OCSP)

Online Certificate Status Protocol (OCSP) ble opprettet som et alternativ til Certificate Revocation List (CRL)-protokollen. Begge protokollene brukes for å sjekke om et SSL-sertifikat er blitt tilbakekalt.

CRL-protokollen krever at nettlesere laster ned et stort antall informasjon om tilbakekalling av SSL-sertifikater: sertifikatets serienummer og siste utgivelsesdato for hvert sertifikat. Problemet med CRL-protokollen er at den kan forlenge tiden det tar for SSL-forhandlinger.

OCSP-protokollen eliminerer behovet for at nettlesere må bruke tid på å laste ned og søke gjennom en liste med sertifikatinformasjon. Med OCSP sender nettleseren ganske enkelt en forespørsel for å motta et svar fra OCSP-responderen (CA-ens server som spesifikt lytter etter og svarer på OCSP-forespørsler) om statusen på sertifikatinnkallingen.

OCSP-binding

OCSP Stapling kan forbedre OCSP-protokollen ved å gjøre det mulig for webverter å være mer proaktive i å forbedre klient- (nettleser-)opplevelsen. OCSP Stapling lar sertifikatutstederen (dvs. webserveren) spørre OCSP-responderen direkte og deretter cache svaret. Svaret fra denne sikre cachen sendes deretter sammen med TLS/SSL-håndtrykket gjennom utvidelsen Certificate Status Request, noe som sikrer at nettleseren får samme responsive ytelse når den henter sertifikatstatus og nettsideinnhold.

OCSP Stapling løser OCSP-erEt personvernspørsmålfordi CA-en ikke lenger mottar tilbakekallingsforespørsler direkte fra klienten (nettleseren). Nettleseren ber direkte om en tredjeparts CA (Certificate Authority),Besøkende til nettstedet som vil bli eksponert (CA vil vite hvilke brukere som besøker nettstedet vårt)。 OCSP Stapling adresserer også OCSP SSL-forhandlingslatens ved å eliminere behovet for en separat nettverkstilkobling til CA-responsserveren.

Sjekk OCSP-bindingen

To scenarier er gitt for å sjekke om OCSP-binding er aktivert.

Nettbasert nettside-forespørsel:Innloggingen med hyperkoblingen er synlig., skriv inn domenenavnet. Som vist nedenfor:



OCSP-stift: Bra betyr aktivert, Ikke aktivert betyr ikke aktivert.

Du kan også spørre via kommandolinjen via openssl-verktøyet, som er som følger:

OCSP-svar:Ingen svar sendtRepresentanter er ikke kvalifisert
OCSP-responsstatus:vellykket (0x0)Representativ aktivert

Som vist nedenfor:



Konfigurer OCSP-stapling på Nginx-serveren

Endre nginx-domenenavnet conf-konfigurasjonsfilen for å legge til følgende i servernoden:

Husk å starte nginx-tjenesten på nytt etter at konfigurasjonen er fullført.

Referanse:

Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.




Foregående:Innebygd i Enterprise WeChat-skannekode-innloggingsfunksjonen rapportHendelsesproblem
Neste:ASP.NET Core (33) filutdata nedlasting (kinesisk filnavn)

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com