Ten artykuł jest lustrzanym artykułem tłumaczenia maszynowego, kliknij tutaj, aby przejść do oryginalnego artykułu.

Architect_Programmer_Code Sieć Rolnicza»Architekt Inne technologie Konfiguracja serwera Nginx strona internetowa zoptymalizowana HTTPS w OCSP
Widok: 259|Odpowiedź: 0

[Web] Nginx strona internetowa zoptymalizowana HTTPS w OCSP

[Skopiuj link]
Opublikowano 2025-11-4 20:22:40 | | | |
Wymagania: Strona internetowa umożliwia funkcję OCSP, zszywanie OCSP jest jednym z rozwiązań optymalizacji HTTPS, które przekazuje żądanie OCSP pierwotnie wymagane przez klienta w czasie rzeczywistym do serwera, a obszar obsługi Nginx otrzymuje wyniki zapytań OCSP i przesyła je klientowi wraz z certyfikatem, dzięki czemu klient może pominąć proces uwierzytelniania i poprawić efektywność uścisku TLS. Wydajność HTTPS można poprawić.

OCSP

OCSP (Online Certificate Status Protocol) to protokół zapytań online używany do weryfikacji legalności i ważności certyfikatów, udostępniany przez Digital Certificate Authority (CA). Za każdym razem, gdy użytkownik uzyskuje dostęp do strony internetowej przez HTTPS, przeglądarka używa zapytania OCSP, aby zweryfikować ważność certyfikatu strony.

Gdy zszywanie OCSP jest włączone, zapytania OCSP wykonuje serwer WWW, a strona internetowa buforuje wyniki zapytań na serwerze. Gdy klient uścisnie rękę serwerowi WWW TLS, sieć bezpośrednio odpowiada na informacje OCSP klienta oraz certyfikat do weryfikacji klienta, eliminując konieczność wysyłania zapytań do CA, co znacznie poprawia efektywność utrzymania TLS, oszczędza czas uwierzytelniania użytkownika i optymalizuje szybkość HTTPS. Jeśli chcesz poprawić efektywność weryfikacji statusu certyfikatu w handshakech HTTPS i poprawić wydajność dostępu do stron internetowych, możesz włączyć wiązanie OCSP.

Jak pokazano na poniższym rysunku:



Protokół Statusu Certyfikatu Online (OCSP)

Online Certificate Status Protocol (OCSP) został stworzony jako alternatywa dla protokołu Certificate Revocation List (CRL). Oba protokoły służą do sprawdzenia, czy certyfikat SSL został cofnięty.

Protokół CRL wymaga od przeglądarek pobrania dużej liczby informacji o unieważnieniu certyfikatu SSL: numeru seryjnego certyfikatu oraz daty ostatniej daty wydania każdego certyfikatu. Problem z protokołem CRL polega na tym, że może wydłużyć czas negocjacji SSL.

Protokół OCSP eliminuje potrzebę pobierania i przeszukiwania przez przeglądarki informacji o certyfikatach. W przypadku OCSP przeglądarka po prostu wysyła zapytanie, aby otrzymać odpowiedź od respondera OCSP (serwera CA, który konkretnie nasłuchuje i odpowiada na żądania OCSP) dotyczącą statusu cofnięcia certyfikatu.

Wiązanie OCSP

OCSP Stapling może ulepszyć protokół OCSP, umożliwiając hostom stron internetowych bardziej proaktywne w poprawie doświadczenia klienta (przeglądania). OCSP Stapling pozwala wydawcy certyfikatu (czyli serwerowi WWW) bezpośrednio zapytać odpowiadającego OCSP, a następnie zapisać odpowiedź w pamięci podręcznej. Odpowiedź z tego bezpiecznego cache jest następnie przekazywana wraz z TLS/SSL przez rozszerzenie Certificate Status Request, zapewniając, że przeglądarka uzyska tę samą responsywną wydajność przy uzyskaniu stanu certyfikatu i zawartości strony internetowej.

OCSP Stapling rozwiązuje problemy OCSPKwestia prywatnościponieważ CA nie otrzymuje już żądań odwołania bezpośrednio od klienta (przeglądarki). Przeglądarka bezpośrednio żąda zewnętrznego CA, Certificate Authority,Odwiedzający stronę internetową, którzy zostaną ujawnieni (CA będzie wiedziała, którzy użytkownicy odwiedzają naszą stronę)。 OCSP Stapling rozwiązuje również opóźnienia negocjacji SSL OCSP, eliminując potrzebę osobnego połączenia sieciowego z serwerem odpowiedzi CA.

Sprawdź oprawę OCSP

Dostępne są dwa scenariusze sprawdzające, czy powiązanie OCSP jest włączone.

Zapytanie o stronę internetową:Logowanie do linku jest widoczne., wpisz nazwę domeny. Jak pokazano poniżej:



OCSP Staple: Dobre znaczy włączone, Nieaktywne znaczy nieaktywne.

Możesz też zapytać za pomocą wiersza poleceń za pomocą narzędzia openssl, które wygląda następująco:

Odpowiedź OCSP:brak odpowiedziPrzedstawiciele nie mają dostępu do pracy
Status odpowiedzi OCSP:Udane (0x0)Reprezentacja włączona

Jak pokazano poniżej:



Konfiguruj zszywanie OCSP na serwerze Nginx

Zmodyfikuj konfiguracyjny plik konfiguracyjny nginx domeny conf, aby dodać następujące elementy do węzła serwera:

Pamiętaj, aby ponownie uruchomić usługę nginx po zakończeniu konfiguracji.

Odniesienie:

Logowanie do linku jest widoczne.
Logowanie do linku jest widoczne.
Logowanie do linku jest widoczne.
Logowanie do linku jest widoczne.




Poprzedni:Osadzone w enterprise skanowaniu kodu logowania w firmie, raport dotyczący kodu WeEvent problem
Następny:ASP.NET Core (33) Pobranie pliku wyjściowego (chińska nazwa pliku)

Powiązane wpisy
Zrzeczenie się:
Całe oprogramowanie, materiały programistyczne lub artykuły publikowane przez Code Farmer Network służą wyłącznie celom edukacyjnym i badawczym; Powyższe treści nie mogą być wykorzystywane do celów komercyjnych ani nielegalnych, w przeciwnym razie użytkownicy ponoszą wszelkie konsekwencje. Informacje na tej stronie pochodzą z Internetu, a spory dotyczące praw autorskich nie mają z nią nic wspólnego. Musisz całkowicie usunąć powyższą zawartość z komputera w ciągu 24 godzin od pobrania. Jeśli spodoba Ci się program, wspieraj oryginalne oprogramowanie, kup rejestrację i korzystaj z lepszych, autentycznych usług. W przypadku naruszenia praw prosimy o kontakt mailowy.
Mail To:help@itsvse.com