Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Andra teknologier Serverkonfiguration Nginx webbplats HTTPS-optimerad OCSP-bindning
Utsikt: 259|Svar: 0

[Web] Nginx webbplats HTTPS-optimerad OCSP-bindning

[Kopiera länk]
Publicerad den 2025-11-4 20:22:40 | | | |
Krav: Webbplatsen möjliggör OCSP-funktionen, OCSP-häftning är en av HTTPS-optimeringslösningarna, som vidarebefordrar OCSP-förfrågan som ursprungligen krävdes initieras av klienten i realtid till servern, och Nginx-serviceområdet hämtar OCSP-frågeresultaten och skickar dem till klienten tillsammans med certifikatet, så att klienten kan hoppa över processen att söka autentisering och förbättra effektiviteten i TLS-handskakningen. HTTPS-prestandan kan förbättras.

OCSP

OCSP (Online Certificate Status Protocol) är ett online-frågeprotokoll som används för att verifiera legitimiteten och giltigheten av certifikat, tillhandahållet av Digital Certificate Authority (CA). Varje gång en användare besöker en webbplats via HTTPS använder webbläsaren en OCSP-fråga för att verifiera att webbplatsens certifikat är giltigt.

När OCSP-häftning är aktiverad görs OCSP-frågor av webbservern, och webben cachar frågeresultaten till servern. När klienten skakar hand med webbserverns TLS svarar webben direkt på klientens OCSP-information och certifikat för klientverifiering, vilket eliminerar behovet av att skicka frågeförfrågningar till CA:n, vilket avsevärt förbättrar effektiviteten i TLS-handshake, sparar användarens autentiseringstid och optimerar HTTPS-hastigheten. Om du vill förbättra effektiviteten i certifikatstatusverifiering i HTTPS-handshakes och förbättra webbplatsåtkomstprestandan kan du aktivera OCSP-bindning.

Som visas i följande figur:



Online certifikatstatusprotokoll (OCSP)

Online Certificate Status Protocol (OCSP) skapades som ett alternativ till Certificate Revocation List (CRL)-protokollet. Båda protokollen används för att kontrollera om ett SSL-certifikat har återkallats.

CRL-protokollet kräver att webbläsare laddar ner ett stort antal SSL-certifikatinkallningsinformation: certifikatets serienummer och det senaste releasedatumet för varje certifikat. Problemet med CRL-protokollet är att det kan förlänga tiden det tar för SSL-förhandlingar.

OCSP-protokollet eliminerar behovet för webbläsare att lägga tid på att ladda ner och söka igenom en lista med certifikatinformation. Med OCSP skickar webbläsaren helt enkelt en förfrågan för att få ett svar från OCSP-respondern (CA:ns server som specifikt lyssnar på och svarar på OCSP-förfrågningar) om statusen för certifikatindragningen.

OCSP-bindning

OCSP Stapling kan förbättra OCSP-protokollet genom att låta webbhotell vara mer proaktiva i att förbättra klientens (surf-)upplevelsen. OCSP Stapling gör det möjligt för certifikatutgivaren (dvs. webbservern) att fråga OCSP-respondern direkt och sedan cacha svaret. Svaret från denna säkra cache skickas sedan tillsammans med TLS/SSL-handshake genom tillägget Certificate Status Request, vilket säkerställer att webbläsaren får samma responsiva prestanda när den hämtar certifikatstatus och webbplatsinnehåll.

OCSP Stapling löser OCSP:erEn integritetsfrågaeftersom CA:n inte längre tar emot återkallelseförfrågningar direkt från klienten (webbläsaren). Webbläsaren begär direkt en tredjeparts CA (certifikatutfärdare),Besökare till webbplatsen som kommer att exponeras (CA kommer att veta vilka användare som besöker vår webbplats)。 OCSP Stapling adresserar också OCSP SSL-förhandlingsfördröjning genom att eliminera behovet av en separat nätverksanslutning till CA:s svarsserver.

Kontrollera OCSP-bindningen

Två scenarier tillhandahålls för att kontrollera om OCSP-bindning är aktiverad.

Webbförfrågan:Inloggningen med hyperlänken är synlig., ange domännamnet. Som visas nedan:



OCSP-staple: Bra betyder aktiverad, Ej aktiverad betyder inte aktiverad.

Du kan också fråga via kommandoraden via openssl-verktyget, som är följande:

OCSP:s svar:Inget svar skickatRepresentanter är inte tillåtna
OCSP-responsstatus:framgångsrik (0x0)Representativ möjliggjord

Som visas nedan:



Konfigurera OCSP-stapling på Nginx-servern

Ändra nginx-domännamnet conf-konfigurationsfilen för att lägga till följande i servernoden:

Kom ihåg att starta om nginx-tjänsten efter att konfigurationen är klar.

Hänvisning:

Inloggningen med hyperlänken är synlig.
Inloggningen med hyperlänken är synlig.
Inloggningen med hyperlänken är synlig.
Inloggningen med hyperlänken är synlig.




Föregående:Inbäddad i företags WeChat-skanningskodes inloggningsfunktion rapportHändelseproblem
Nästa:ASP.NET Core (33) Filutdata Nedladdning (kinesiskt filnamn)

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com