Bu makale makine çevirisi ayna makalesidir, orijinal makaleye geçmek için lütfen buraya tıklayın.

Architect_Programmer_Code Tarım Ağı»Mimar Diğer Teknolojiler Sunucu yapılandırması Nginx website HTTPS optimize OCSP binding
Görünüm: 259|Yanıt: 0

[Web] Nginx website HTTPS optimize OCSP binding

[Bağlantıyı kopyala]
2025-11-4 tarihinde 20:22:40 tarihinde yayınlandı | | | |
Gereksinimler: Web sitesi OCSP fonksiyonunu etkinleştirir, OCSP zımbalama sistemi HTTPS optimizasyon çözümlerinden biridir; bu çözüm, ististmen tarafından başlangıçta gerçek zamanlı başlatılması gereken OCSP talebini sunucuya iletir ve Nginx hizmet alanı OCSP sorgu sonuçlarını alır ve sertifikayla birlikte istemciye gönderir; böylece istemci kimlik doğrulama sürecini atlayabilir ve TLS el sıkışmasının verimliliğini artırabilir. HTTPS performansı geliştirilebilir.

OCSP

OCSP (Online Sertifika Durum Protokolü), Dijital Sertifika Otoritesi (CA) tarafından sağlanan, sertifikaların meşruiyetini ve geçerliliğini doğrulamak için kullanılan bir çevrimiçi sorgu protokolüdür. Bir kullanıcı HTTPS üzerinden bir web sitesine her eriştiğinde, tarayıcı web sitesinin sertifikasının geçerli olup olmadığını doğrulamak için OCSP sorgusu kullanır.

OCSP zımbalaması etkinleştirildiğinde, OCSP sorguları web sunucusu tarafından yapılır ve web sorgu sonuçlarını sunucuya önbellekler. İstemci web sunucusu TLS ile el sıkıştığında, web doğrudan istemcinin OCSP bilgilerine ve sertifikasına yanıt verir ve istemcinin CA'ya sorgu isteği gönderme ihtiyacını ortadan kaldırır; bu da TLS el sıkışmasının verimliliğini büyük ölçüde artırır, kullanıcı kimlik doğrulama süresini azaltır ve HTTPS hızını optimize eder. HTTPS el sıkışmalarında sertifika durumu doğrulamasının verimliliğini artırmak ve web sitesi erişim performansını artırmak istiyorsanız, OCSP bağlamasını etkinleştirebilirsiniz.

Aşağıdaki şekilde gösterildiği gibi:



Çevrimiçi Sertifika Durum Protokolü (OCSP)

Online Sertifika Durum Protokolü (OCSP), Sertifika İptal Listesi (CRL) protokolüne alternatif olarak oluşturuldu. Her iki protokol de SSL sertifikasının iptal edilip edilmediğini kontrol etmek için kullanılır.

CRL protokolü, tarayıcıların çok sayıda SSL sertifikası iptal bilgisi indirmesini gerektirir: sertifika seri numarası ve her sertifikanın son sürüm tarihi. CRL protokolünün sorunu, SSL müzakereleri için gereken süreyi uzatabilmesidir.

OCSP protokolü, tarayıcıların sertifika bilgilerini indirip arama yapmak için zaman harcama ihtiyacını ortadan kaldırır. OCSP ile tarayıcı, sertifika iptal durumu hakkında OCSP yanıtlayıcısından (CA'nın OCSP isteklerini özellikle dinleyen ve yanıt veren sunucusu) yanıt almak için bir sorgu gönderir.

OCSP bağlanması

OCSP Zımbalama, web sitesi barındırıcılarının istemci (gezinme) deneyimini geliştirmede daha proaktif olmalarına olanak tanıyarak OCSP protokolünü geliştirebilir. OCSP Zımbalama, sertifika veren (yani web sunucusuna) OCSP yanıtlayıcısını doğrudan sorgulayıp yanıtı önbellemeye olanak tanır. Bu güvenli önbellekten gelen yanıt, TLS/SSL el sıkışması ile birlikte Sertifika Durumu Talebi uzantısı aracılığıyla iletilir ve böylece tarayıcı sertifika durumu ve web sitesi içeriğini elde ederken aynı duyarlı performansı elde eder.

OCSP Zımbalama OCSP'leri çözerBir gizlilik sorunuçünkü CA artık doğrudan istemcinin (tarayıcının) iptal taleplerini almamaktadır. Tarayıcı doğrudan üçüncü taraf CA (Sertifika Otoritesi) talep eder,Web sitesine girecek ziyaretçiler (CA, hangi kullanıcıların web sitemizi ziyaret ettiğini bilecektir)。 OCSP Zımbalama, ayrıca CA yanıt sunucusuna ayrı bir ağ bağlantısı gerekmesini ortadan kaldırarak OCSP SSL müzakere gecikmesini de ele alır.

OCSP bağını kontrol edin

OCSP bağlamanın etkin olup olmadığını kontrol etmek için iki senaryo sunulur.

Çevrimiçi web sitesi sorgusu:Bağlantı girişi görünür., alan adını girin. Aşağıda gösterildiği gibi:



OCSP Staple: İyi demek, etkinleştirilmiş demek, Etkin Değil demektir.

Openssl aracı aracılığıyla komut satırını kullanarak da sorgulayabilirsiniz, bu araç şu şekildedir:

OCSP yanıtı:Yanıt gönderilmediTemsilciler etkinleştirilmiyor
OCSP Yanıt Durumu:Başarılı (0x0)Temsilci etkinleştirildi

Aşağıda gösterildiği gibi:



Nginx sunucusunda OCSP Zımbalama Yapılandır

nginx alan adı conf yapılandırma dosyasını sunucu düğümüne aşağıdakileri ekleyecek şekilde değiştirin:

Yapılandırma tamamlandıktan sonra nginx servisini yeniden başlatmayı unutmayın.

Referans:

Bağlantı girişi görünür.
Bağlantı girişi görünür.
Bağlantı girişi görünür.
Bağlantı girişi görünür.




Önceki:Kurumsal WeChat tarama kodu giriş fonksiyonu raporuna gömülüp Event issue
Önümüzdeki:ASP.NET Core (33) Dosya Çıkışı İndirme (Çince dosya adı)

İlgili Yazılar
Feragatname:
Code Farmer Network tarafından yayımlanan tüm yazılım, programlama materyalleri veya makaleler yalnızca öğrenme ve araştırma amaçları içindir; Yukarıdaki içerik ticari veya yasa dışı amaçlarla kullanılamaz, aksi takdirde kullanıcılar tüm sonuçları ödemelidir. Bu sitedeki bilgiler internetten alınmakta olup, telif hakkı anlaşmazlıklarının bu siteyle hiçbir ilgisi yoktur. Yukarıdaki içeriği indirmeden sonraki 24 saat içinde bilgisayarınızdan tamamen silmelisiniz. Programı beğendiyseniz, lütfen orijinal yazılımı destekleyin, kayıt satın alın ve daha iyi orijinal hizmetler alın. Herhangi bir ihlal olursa, lütfen bizimle e-posta yoluyla iletişime geçin.
Mail To:help@itsvse.com