Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Outras Tecnologias Configuração do servidor Site Nginx otimizado para ligação OCSP
Vista: 259|Resposta: 0

[Web] Site Nginx otimizado para ligação OCSP

[Copiar link]
Postado em 2025-11-4 20:22:40 | | | |
Requisitos: O site habilita a função OCSP, o OCSP stapling é uma das soluções de otimização HTTPS, que encaminha a solicitação OCSP que originalmente precisava ser iniciada pelo cliente em tempo real para o servidor, e a área de serviço Nginx obtém os resultados da consulta OCSP e os envia ao cliente junto com o certificado, para que o cliente possa pular o processo de busca de autenticação e melhorar a eficiência do handshake TLS. O desempenho do HTTPS pode ser melhorado.

OCSP

OCSP (Protocolo de Status de Certificado Online) é um protocolo de consulta online usado para verificar a legitimidade e validade de certificados, fornecido pela Autoridade de Certificação Digital (CA). Toda vez que um usuário acessa um site via HTTPS, o navegador usa uma consulta OCSP para verificar se o certificado do site é válido.

Quando o grampo OCSP está habilitado, as consultas OCSP são feitas pelo servidor web, e a web armazena os resultados da consulta no servidor em cache. Quando o cliente aperta a mão com o TLS do servidor web, a web responde diretamente às informações OCSP e ao certificado do cliente para verificação do cliente, eliminando a necessidade de o cliente enviar solicitações de consulta para a CA, o que melhora muito a eficiência do handshake TLS, economiza tempo de autenticação do usuário e otimiza a velocidade do HTTPS. Se você quiser melhorar a eficiência da verificação de status de certificado em handshakes HTTPS e melhorar o desempenho do acesso a sites, pode ativar a vinculação OCSP.

Como mostrado na figura a seguir:



Protocolo de Status de Certificado Online (OCSP)

O Protocolo de Status de Certificado Online (OCSP) foi criado como uma alternativa ao protocolo da Lista de Revogação de Certificados (CRL). Ambos os protocolos são usados para verificar se um certificado SSL foi revogado.

O protocolo CRL exige que os navegadores baixem uma grande quantidade de informações de revogação de certificados SSL: o número de série do certificado e a data final de lançamento de cada certificado. O problema do protocolo CRL é que ele pode estender o tempo que leva para negociações SSL.

O protocolo OCSP elimina a necessidade de os navegadores passarem tempo baixando e pesquisando uma lista de informações de certificados. Com o OCSP, o navegador simplesmente emite uma consulta para receber uma resposta do respondente OCSP (o servidor da CA que especificamente escuta e responde às solicitações do OCSP) sobre o status da revogação do certificado.

Ligação OCSP

O OCSP Stapling pode aprimorar o protocolo OCSP ao permitir que os hosts de sites sejam mais proativos na melhoria da experiência do cliente (navegação). O OCSP Stapling permite que o emissor do certificado (ou seja, o servidor web) consulte diretamente o respondente OCSP e então armazene a resposta em cache. A resposta desse cache seguro é então repassada junto com o handshake TLS/SSL através da extensão Certificate Status Request, garantindo que o navegador obtenha o mesmo desempenho responsivo ao obter o estado do certificado e o conteúdo do site.

OCSP Sgramping resolve os OCSPsUma questão de privacidadeporque a CA não recebe mais solicitações de revogação diretamente do cliente (navegador). O navegador solicita diretamente uma CA (Autoridade Certificadora) de terceiros,Visitantes do site que serão expostos (a CA saberá quais usuários estão visitando nosso site)。 O OCSP Stapling também aborda a latência de negociação SSL do OCSP ao eliminar a necessidade de uma conexão de rede separada para o servidor de resposta da CA.

Verifique a encadernação do OCSP

Dois cenários são fornecidos para verificar se o binding OCSP está ativado.

Consulta sobre o site online:O login do hiperlink está visível., insira o nome de domínio. Como mostrado abaixo:



OCSP Staple: Bom significa habilitado, Não Habilitado significa não ativado.

Você também pode consultar usando a linha de comando pela ferramenta openssl, que é a seguinte:

Resposta do OCSP:Nenhuma resposta enviadaRepresentantes não são habilitados
Situação da Resposta ao OCSP:Bem-sucedidos (0x0)Representativo habilitado

Como mostrado abaixo:



Configure o OCSP Stapling no servidor Nginx

Modifique o arquivo de configuração de conf do nome de domínio nginx para adicionar o seguinte ao nó do servidor:

Lembre-se de reiniciar o serviço nginx após a configuração estar concluída.

Referência:

O login do hiperlink está visível.
O login do hiperlink está visível.
O login do hiperlink está visível.
O login do hiperlink está visível.




Anterior:Incorporado no WeChat empresarial relatório de função de login de código de varredura Problema de evento
Próximo:ASP.NET Core (33) Download de Saída de Arquivo (nome do arquivo chinês)

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com