Tento článok je zrkadlovým článkom o strojovom preklade, kliknite sem pre prechod na pôvodný článok.

Architect_Programmer_Code Poľnohospodárska sieť»Architekt Ďalšie technológie Konfigurácia servera Nginx webová stránka HTTPS optimalizovaná OCSP väzba
Pohľad: 259|Odpoveď: 0

[Web] Nginx webová stránka HTTPS optimalizovaná OCSP väzba

[Kopírovať odkaz]
Zverejnené 2025-11-4 20:22:40 | | | |
Požiadavky: Webová stránka umožňuje funkciu OCSP, OCSP zošívanie je jedným z riešení optimalizácie HTTPS, ktoré preposiela OCSP požiadavku, ktorú mal klient pôvodne iniciovať, v reálnom čase na server, a oblasť služby Nginx získava výsledky OCSP dotazov a posiela ich klientovi spolu s certifikátom, aby klient mohol preskočiť proces vyhľadávania autentifikácie a zlepšiť efektivitu TLS handshake. Výkon HTTPS sa dá zlepšiť.

OCSP

OCSP (Online Certificate Status Protocol) je online dotazovací protokol používaný na overenie legitímnosti a platnosti certifikátov, poskytovaný Digitálnou certifikačnou autoritou (CA). Kedykoľvek používateľ navštívi webovú stránku cez HTTPS, prehliadač použije dotaz OCSP na overenie platnosti certifikátu webovej stránky.

Keď je OCSP zošívanie povolené, dotazy OCSP vykonáva webový server a web ukladá výsledky dotazov do cache serveru. Keď klient podá ruku webovému serveru TLS, web priamo reaguje na OCSP informácie klienta a certifikát na overenie klienta, čím sa eliminuje potreba posielať požiadavky na dotazy CA, čo výrazne zvyšuje efektivitu TLS handshake, šetrí čas overovania používateľa a optimalizuje rýchlosť HTTPS. Ak chcete zlepšiť efektivitu overovania statusu certifikátu v HTTPS handshake a zlepšiť výkon prístupu na webové stránky, môžete povoliť viazanie OCSP.

Ako je znázornené na nasledujúcom obrázku:



Online protokol o stave certifikátu (OCSP)

Online Certificate Status Protocol (OCSP) bol vytvorený ako alternatíva k protokolu Certificate Revocation List (CRL). Oba protokoly sa používajú na kontrolu, či bol SSL certifikát zrušený.

Protokol CRL vyžaduje, aby prehliadače stiahli veľké množstvo informácií o zrušení SSL certifikátov: sériové číslo certifikátu a dátum posledného vydania každého certifikátu. Problém s protokolom CRL je, že môže predĺžiť čas potrebný na SSL vyjednávanie.

Protokol OCSP eliminuje potrebu, aby prehliadače trávili čas sťahovaním a vyhľadávaním v zozname informácií o certifikátoch. Pri OCSP prehliadač jednoducho vyšle dotaz, aby prijal odpoveď od OCSP odpovedajúcej osoby (servera CA, ktorý špecificky počúva a reaguje na požiadavky OCSP) o stave zrušenia certifikátu.

Viazanie OCSP

OCSP Stapling môže vylepšiť protokol OCSP tým, že umožní hostiteľom webových stránok byť proaktívnejší pri zlepšovaní klientskej (prehliadačskej) skúsenosti. OCSP Stapling umožňuje vydavateľovi certifikátu (t. j. webovému serveru) priamo dotazovať OCSP odpovedajúci operátor a následne uložiť odpoveď do vyrovnávacej pamäte. Odpoveď z tejto zabezpečenej cache je potom odoslaná spolu s TLS/SSL handshake cez rozšírenie Certificate Status Request, čím sa zabezpečuje, že prehliadač dosiahne rovnaký responzívny výkon pri získavaní stavu certifikátu a obsahu webovej stránky.

OCSP Stapling rieši OCSPOtázka súkromiapretože CA už neprijíma požiadavky na zrušenie priamo od klienta (prehliadača). Prehliadač priamo žiada tretiu stranu CA (certifikačnú autoritu),Návštevníci webovej stránky, ktorí budú vystavení (CA bude vedieť, ktorí používatelia navštevujú našu stránku)。 OCSP Stapling tiež rieši latenciu vyjednávania SSL OCSP tým, že eliminuje potrebu samostatného sieťového pripojenia k CA odpovednému serveru.

Skontrolujte väzbu OCSP

Sú k dispozícii dva scenáre na overenie, či je viazanie OCSP povolené.

Dotaz na online webovej stránke:Prihlásenie na hypertextový odkaz je viditeľné., zadajte doménové meno. Ako je uvedené nižšie:



OCSP Základ: Dobré znamená povolené, Nepovolené znamená neaktivované.

Môžete tiež dotazovať pomocou príkazového riadku cez nástroj openssl, ktorý je nasledovný:

Odpoveď OCSP:Žiadna odpoveď neodoslanáZástupcovia nie sú povolení
Stav reakcie OCSP:Úspešný (0x0)Reprezentácia povolená

Ako je uvedené nižšie:



Konfigurácia OCSP Stapling na serveri Nginx

Upravte konfiguračný súbor nginx doménového mena conf tak, aby ste do serverového uzla pridali nasledujúce:

Nezabudnite po dokončení konfigurácie reštartovať službu nginx.

Referencia:

Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.




Predchádzajúci:Zabudované v enterprise WeChat skenovacej kódovej prihlasovacej funkcii, hlásenie problému s udalosťou
Budúci:ASP.NET Core (33) Súbor na stiahnutie (čínsky názov súboru)

Súvisiace príspevky
Vyhlásenie:
Všetok softvér, programovacie materiály alebo články publikované spoločnosťou Code Farmer Network slúžia len na vzdelávacie a výskumné účely; Vyššie uvedený obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesú všetky následky používateľmi. Informácie na tejto stránke pochádzajú z internetu a spory o autorské práva s touto stránkou nesúvisia. Musíte úplne vymazať vyššie uvedený obsah zo svojho počítača do 24 hodín od stiahnutia. Ak sa vám program páči, podporte originálny softvér, zakúpte si registráciu a získajte lepšie originálne služby. Ak dôjde k akémukoľvek porušeniu, kontaktujte nás prosím e-mailom.
Mail To:help@itsvse.com