Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Alte tehnologii Configurația serverului Legarea OCSP optimizată de pe site-ul Nginx
Vedere: 259|Răspunde: 0

[Web] Legarea OCSP optimizată de pe site-ul Nginx

[Copiază linkul]
Postat la 2025-11-4 20:22:40 | | | |
Cerințe: Site-ul activează funcția OCSP, OCSP stapling este una dintre soluțiile de optimizare HTTPS, care redirecționează cererea OCSP care trebuia inițial inițiată de client în timp real către server, iar zona de servicii Nginx obține rezultatele interogării OCSP și le trimite clientului împreună cu certificatul, astfel încât clientul să poată sări peste procesul de căutare a autentificării și să îmbunătățească eficiența handshake-ului TLS. Performanța HTTPS poate fi îmbunătățită.

OCSP

OCSP (Online Certificate Status Protocol) este un protocol de interogare online folosit pentru a verifica legitimitatea și validitatea certificatelor, furnizat de Digital Certificate Authority (CA). De fiecare dată când un utilizator accesează un site web prin HTTPS, browserul folosește o interogare OCSP pentru a verifica dacă certificatul site-ului este valid.

Când este activat stapling-ul OCSP, interogările OCSP sunt realizate de serverul web, iar site-ul stochează în cache rezultatele interogărilor către server. Când clientul dă mâna cu TLS-ul serverului web, web-ul răspunde direct la informațiile OCSP și certificatul clientului pentru verificarea clientului, eliminând necesitatea ca clientul să trimită cereri de interogare către CA, ceea ce îmbunătățește semnificativ eficiența handshake-ului TLS, economisește timp de autentificare pentru utilizatori și optimizează viteza HTTPS. Dacă doriți să îmbunătățiți eficiența verificării statutului certificatului în handshake-urile HTTPS și să îmbunătățiți performanța accesului la site-uri, puteți activa asocierea OCSP.

Așa cum se vede în figura următoare:



Protocolul Online de Stare a Certificatului (OCSP)

Protocolul Online pentru Statutul Certificatului (OCSP) a fost creat ca alternativă la protocolul Certificate Revocation List (CRL). Ambele protocoale sunt folosite pentru a verifica dacă un certificat SSL a fost revocat.

Protocolul CRL cere browserelor să descarce un număr mare de informații despre revocarea certificatelor SSL: numărul de serie al certificatului și ultima dată de lansare a fiecărui certificat. Problema cu protocolul CRL este că poate prelungi timpul necesar pentru negocierile SSL.

Protocolul OCSP elimină necesitatea ca browserele să petreacă timp descărcând și căutând o listă de informații despre certificate. Cu OCSP, browserul pur și simplu emite o interogare pentru a primi un răspuns de la respondentul OCSP (serverul CA care ascultă și răspunde în mod specific cererilor OCSP) despre stadiul revocării certificatului.

Legarea OCSP

OCSP Stapling poate îmbunătăți protocolul OCSP permițând găzduitorilor de site-uri să fie mai proactivi în îmbunătățirea experienței clientului (navigare). OCSP Stapling permite emitentului certificatului (adică serverul web) să interogheze direct răspunsul OCSP și apoi să cache răspunsul. Răspunsul din acest cache securizat este apoi transmis împreună cu handshake-ul TLS/SSL prin extensia Certificate Status Request, asigurând că browserul obține aceeași performanță responsive la obținerea stării certificatului și a conținutului site-ului.

OCSP Stapling rezolvă OCSPO problemă de confidențialitatedeoarece CA nu mai primește cereri de revocare direct de la client (browser). Browserul solicită direct o CA terță (Autoritate de Certificare),Vizitatorii site-ului care vor fi expuși (CA va ști ce utilizatori vizitează site-ul nostru)。 OCSP Stapling abordează, de asemenea, latența negocierii OCSP SSL prin eliminarea necesității unei conexiuni de rețea separate către serverul de răspuns CA.

Verifică legătura OCSP

Sunt oferite două scenarii pentru a verifica dacă legarea OCSP este activată.

Solicitare online:Autentificarea cu hyperlink este vizibilă., introdu numele domeniului. Așa cum se arată mai jos:



OCSP Staple: Bun înseamnă activat, Neactivat înseamnă neactivat.

De asemenea, poți interoga folosind linia de comandă prin unealta openssl, care este următoarea:

Răspunsul OCSP:Niciun răspuns trimisReprezentanții nu sunt activați
Starea răspunsului OCSP:Succes (0x0)Reprezentativ activat

Așa cum se arată mai jos:



Configurează OCSP Stapling pe serverul Nginx

Modificați fișierul de configurare conf al numelui de domeniu nginx pentru a adăuga următoarele pe nodul server:

Amintește-ți să repornești serviciul nginx după ce configurarea este completă.

Referință:

Autentificarea cu hyperlink este vizibilă.
Autentificarea cu hyperlink este vizibilă.
Autentificarea cu hyperlink este vizibilă.
Autentificarea cu hyperlink este vizibilă.




Precedent:Integrat în funcția de autentificare WeChat de scanare a programului de raport Problemă de eveniment
Următor:ASP.NET Descărcare de ieșire a fișierului Core (33) (nume de fișier chinezesc)

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com