Требования: Веб-сайт поддерживает функцию OCSP, скрепление OCSP — одно из решений для оптимизации HTTPS, которое пересылает OCSP-запрос, который изначально должен был быть инициирован клиентом в реальном времени, на сервер, а сервисная область Nginx получает результаты запроса OCSP и отправляет их клиенту вместе с сертификатом, чтобы клиент мог пропустить процесс аутентификации и повысить эффективность TLS-рукопожатия. Производительность HTTPS можно улучшить.
OCSP
OCSP (Online Certificate Status Protocol) — это онлайн-протокол запросов, используемый для проверки легитимности и действительности сертификатов, предоставляемый Цифровым сертификационным центром (CA). Каждый раз, когда пользователь заходит на сайт через HTTPS, браузер использует OCSP-запрос для проверки действительности сертификата сайта.
Когда скрепление OCSP включено, запросы OCSP выполняются веб-сервером, а веб кэширует результаты запроса на сервер. Когда клиент пожимает руку веб-серверу TLS, веб напрямую отвечает на информацию и сертификат OCSP клиента для верификации, что устраняет необходимость отправлять запросы к CA, что значительно повышает эффективность TLS-рукопожатия, экономит время аутентификации пользователя и оптимизирует скорость HTTPS. Если вы хотите повысить эффективность верификации статуса сертификата в HTTPS-рукопожатиях и повысить производительность доступа к сайту, вы можете включить OCSP-привязку.
Как показано на следующем рисунке:
Онлайн-протокол статуса сертификата (OCSP)
Онлайн-протокол статуса сертификатов (OCSP) был создан как альтернатива протоколу списка отзыва сертификатов (CRL). Оба протокола используются для проверки отзыва SSL-сертификата.
Протокол CRL требует от браузеров скачивания большого количества информации о отзыве SSL-сертификата: серийный номер сертификата и дату последнего выпуска каждого сертификата. Проблема протокола CRL в том, что он может продлить время согласования SSL.
Протокол OCSP устраняет необходимость для браузеров тратить время на скачивание и поиск по списку информации о сертификатах. В случае с OCSP браузер просто отправляет запрос для получения ответа от ответчика OCSP (сервера CA, который специально слушает и отвечает на запросы OCSP) о статусе отзыва сертификата.
Связывание OCSP
OCSP Степлинг может улучшить протокол OCSP, позволяя хостам сайта более активно улучшать клиентский (браузер) опыт. OCSP Stapling позволяет эмитенту сертификатов (то есть веб-серверу) напрямую обращаться к ответчику OCSP и затем кэшировать ответ. Ответ от этого защищённого кэша затем передаётся вместе с TLS/SSL handshake через расширение Certificate Status Request, что гарантирует браузер одинаковую оперативную производительность при получении состояния сертификата и содержимого сайта.
OCSP Степлер решает проблемы OCSPВопрос конфиденциальностипотому что CA больше не получает запросы на отзыв напрямую от клиента (браузера). Браузер напрямую запрашивает сторонний CA (Центр сертификации),Посетители сайта, которые будут раскрыты (CA будет знать, какие пользователи посещают наш сайт)。 OCSP Stapling также решает задержку согласования SSL с OCSP, устраняя необходимость отдельного сетевого соединения с сервером ответа CA.
Проверьте переплетку OCSP
Приведены два сценария для проверки, включено ли OCSP-привязывание.
Онлайн-запрос на сайт:Вход по гиперссылке виден., введите доменное имя. Как показано ниже:
OCSP Staple: Хорошо — значит включено, Не включено — не включено.
Вы также можете делать запросы через командную строку через инструмент openssl, который выглядит следующим образом:
Ответ OCSP:Ответа не пришлоПредставители не включены
Статус ответа OCSP:Успешный (0x0)Репрезентативная система включена
Как показано ниже:
Настройте OCSP-скрепление на сервере Nginx
Модифицируйте конфигурационный файл доменного имени nginx, чтобы добавить следующее в серверный узл:
Не забудьте перезапустить сервис nginx после завершения конфигурации.
Ссылка:
Вход по гиперссылке виден.
Вход по гиперссылке виден.
Вход по гиперссылке виден.
Вход по гиперссылке виден. |
Опубликовано 2025-11-4 20:22:40
|
|
|
|
