Zahteve: Spletna stran omogoča funkcijo OCSP, spenjanje OCSP je ena izmed rešitev za optimizacijo HTTPS, ki v realnem času posreduje zahtevo OCSP, ki jo je moral odjemalec prvotno sprožiti, strežniku, Nginx storitveno območje pa pridobi rezultate poizvedb OCSP in jih pošlje odjemalcu skupaj s certifikatom, da lahko odjemalec preskoči postopek iskanja avtentikacije in izboljša učinkovitost TLS rokovanja. Zmogljivost HTTPS je mogoče izboljšati.
OCSP
OCSP (Online Certificate Status Protocol) je spletni poizvedbni protokol, ki se uporablja za preverjanje legitimnosti in veljavnosti potrdil, ki ga zagotavlja Digitalni certifikacijski organ (CA). Vsakič, ko uporabnik dostopa do spletne strani prek HTTPS, brskalnik uporabi OCSP poizvedbo za preverjanje veljavnosti certifikata spletne strani.
Ko je OCSP spenjanje omogočeno, OCSP poizvedbe izvaja spletni strežnik, splet pa rezultate poizvedb predpomni strežniku. Ko odjemalec vzpostavi roko s spletnim strežnikom TLS, splet neposredno odgovori na OCSP informacije in certifikat odjemalca za preverjanje odjemalca, s čimer odstrani potrebo po pošiljanju poizvedb CA, kar močno izboljša učinkovitost TLS roke, prihrani čas avtentikacije uporabnika in optimizira hitrost HTTPS. Če želite izboljšati učinkovitost preverjanja statusa certifikata v HTTPS rokah in izboljšati dostop do spletnih strani, lahko omogočite vezanje OCSP.
Kot je prikazano na naslednji sliki:
Protokol za spletni status certifikata (OCSP)
Protokol za spletni status potrdil (OCSP) je bil ustvarjen kot alternativa protokolu Seznam preklica potrdil (CRL). Oba protokola se uporabljata za preverjanje, ali je SSL potrdilo preklicano.
Protokol CRL zahteva, da brskalniki prenesejo veliko število informacij o preklicu SSL certifikatov: serijsko številko certifikata in zadnji datum izdaje vsakega potrdila. Težava s protokolom CRL je, da lahko podaljša čas, potreben za SSL pogajanja.
Protokol OCSP odpravlja potrebo, da bi brskalniki porabili čas za prenos in iskanje po seznamu informacij o certifikatih. Pri OCSP brskalnik preprosto pošlje poizvedbo, da prejme odgovor od OCSP odzivnika (strežnika CA, ki posebej posluša in odgovarja na zahteve OCSP) o statusu preklica potrdila.
OCSP vezava
OCSP Stapling lahko izboljša protokol OCSP tako, da gostiteljem spletnih strani omogoči večjo proaktivnost pri izboljševanju izkušnje odjemalca (brskanja). OCSP Stapling omogoča izdajatelju certifikata (tj. spletnemu strežniku), da neposredno povpraša OCSP odzivnik in nato predpomni odgovor. Odgovor iz tega varnega predpomnilnika se nato posreduje skupaj s TLS/SSL roko prek razširitve Certificate Status Request, kar zagotavlja, da brskalnik dobi enako odzivno zmogljivost ob pridobivanju stanja certifikata in vsebine spletne strani.
OCSP Stapling rešuje OCSP-jeVprašanje zasebnostiker CA ne prejema več zahtevkov za preklic neposredno od odjemalca (brskalnika). Brskalnik neposredno zahteva tretjo osebo (CA (Certificate Authority),Obiskovalci spletne strani, ki bodo izpostavljeni (CA bo vedel, kateri uporabniki obiskujejo našo spletno stran)。 OCSP Stapling prav tako rešuje zakasnitev pogajanj SSL OCSP, saj odpravlja potrebo po ločeni omrežni povezavi s strežnikom za odziv CA.
Preveri OCSP vezavo
Na voljo sta dva scenarija za preverjanje, ali je OCSP vezava omogočena.
Spletna spletna vprašanja:Prijava do hiperpovezave je vidna., vnesite domeno. Kot je prikazano spodaj:
OCSP osnova: Dobro pomeni omogočeno, Ni omogočeno pomeni ni omogočeno.
Poizvedovati lahko tudi z ukazno vrstico preko orodja openssl, ki je naslednje:
Odgovor OCSP:Odgovora ni bilo poslanegaPredstavniki niso omogočeni
Status odziva OCSP:Uspešen (0x0)Omogočen predstavnik
Kot je prikazano spodaj:
Nastavite OCSP spenjanje na strežniku Nginx
Spremenite konfiguracijsko konfiguracijsko datoteko nginx domene conf, da strežniškemu vozlišču dodate naslednje:
Ne pozabite ponovno zagnati nginx storitve po končani konfiguraciji.
Referenčni:
Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna. |
Objavljeno 4. 11. 2025 ob 20:22:40
|
|
|
|
