Вимоги: Вебсайт підтримує функцію OCSP, степлер OCSP — одне з рішень для оптимізації HTTPS, яке пересилає запит OCSP, який клієнт спочатку мав ініціювати в реальному часі, на сервер, а сервісна зона Nginx отримує результати запиту OCSP і надсилає їх клієнту разом із сертифікатом, щоб клієнт міг пропустити процес автентифікації та підвищити ефективність TLS-рукостискання. Продуктивність HTTPS можна покращити.
OCSP
OCSP (Online Certificate Status Protocol) — це онлайн-протокол запитів, який використовується для перевірки легітимності та дійсності сертифікатів, наданий Цифровим сертифікаційним центром (CA). Кожного разу, коли користувач заходить на вебсайт через HTTPS, браузер використовує OCSP-запит для перевірки дійсності сертифіката сайту.
Коли увімкнено степлер OCSP, запити OCSP виконує веб-сервер, а веб кешує результати запиту на сервер. Коли клієнт тисне руку веб-серверу TLS, веб безпосередньо реагує на інформацію та сертифікат OCSP клієнта для верифікації клієнта, усуваючи потребу надсилати запити до CA, що значно підвищує ефективність TLS-рукостискання, економить час автентифікації користувача та оптимізує швидкість HTTPS. Якщо ви хочете підвищити ефективність перевірки статусу сертифіката в HTTPS handshakes і покращити ефективність доступу до вебсайту, ви можете увімкнути прив'язування OCSP.
Як показано на наступному рисунку:
Онлайн-протокол статусу сертифіката (OCSP)
Онлайн-протокол статусу сертифікатів (OCSP) був створений як альтернатива протоколу списку відкликання сертифікатів (CRL). Обидва протоколи використовуються для перевірки, чи було відкликано SSL-сертифікат.
Протокол CRL вимагає від браузерів завантаження великої кількості інформації про анулювання SSL-сертифіката: серійного номера сертифіката та останньої дати випуску кожного сертифіката. Проблема протоколу CRL у тому, що він може подовжити час для SSL-переговорів.
Протокол OCSP усуває потребу браузерам витрачати час на завантаження та пошук у списку інформації про сертифікати. У випадку з OCSP браузер просто надсилає запит, щоб отримати відповідь від відповідача OCSP (сервера CA, який спеціально слухає та відповідає на запити OCSP) щодо статусу відкликання сертифіката.
OCSP-біндинг
OCSP Степлінг може покращити протокол OCSP, дозволяючи хостам сайтів бути більш активними у покращенні досвіду перегляду клієнтів. OCSP Степлінг дозволяє випускнику сертифікатів (тобто веб-серверу) безпосередньо звертатися до відповідача OCSP, а потім кешувати відповідь. Відповідь із цього захищеного кешу потім передається разом із TLS/SSL handshake через розширення Certificate Status Request, що забезпечує браузер таку ж оперативну продуктивність при отриманні стану сертифіката та вмісту сайту.
OCSP Степлер розв'язує проблеми OCSPПитання конфіденційностіоскільки CA більше не отримує запити на відкликання безпосередньо від клієнта (браузера). Браузер безпосередньо звертається до стороннього CA (Центру сертифікації),Відвідувачі сайту, які будуть відкриті (CA знатиме, які користувачі відвідують наш сайт)。 OCSP Stapling також вирішує затримку переговорів SSL з OCSP, усуваючи потребу в окремому мережевому з'єднанні з сервером відповіді CA.
Перевірте обкладинку OCSP
Наведено два сценарії для перевірки, чи увімкнено зв'язування OCSP.
Онлайн-запит на сайті:Вхід за гіперпосиланням видно., введіть доменне ім'я. Як показано нижче:
OCSP Staple: Добре означає увімкнено, Не увімкнено — не увімкнено.
Ви також можете робити запит через командний рядок через інструмент openssl, який виглядає так:
Відповідь OCSP:Відповіді не надійшлоПредставники не вмикаються
Статус відповіді OCSP:успішний (0x0)Репрезентативний режим
Як показано нижче:
Налаштуйте скріплення OCSP на сервері Nginx
Модифікуйте конфігураційний файл доменного імені nginx, щоб додати наступне до серверного вузла:
Не забудьте перезапустити службу nginx після завершення налаштування.
Посилання:
Вхід за гіперпосиланням видно.
Вхід за гіперпосиланням видно.
Вхід за гіперпосиланням видно.
Вхід за гіперпосиланням видно. |
Опубліковано 2025-11-4 20:22:40
|
|
|
|
