欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

CDN中的OCSP?Stapling是什么?需要開啟嗎?

 更新時(shí)間:2024年01月07日 18:19:39   作者:安語(yǔ)未  
最近使用CDN時(shí),CDN后臺(tái)都有一個(gè)OCSP?Staplin的選項(xiàng),一般在設(shè)置HTTPS里面,不知道什么意思,這里簡(jiǎn)單為大家分享一下

我們?cè)谑褂肅DN時(shí),CDN后臺(tái)都有一個(gè)OCSP Staplin的選項(xiàng),一般在設(shè)置HTTPS里面,如下圖位子:

CDN中的OCSP Stapling是什么?有必要開啟嗎?

那么這個(gè)OCSP Stapling是什么了,我們看看介紹。

OCSP Stapling簡(jiǎn)介

OCSP(Online Certificate Status Protocol)Stapling是一種用于提高SSL/TLS證書驗(yàn)證性能和安全性的機(jī)制。它通過(guò)將證書頒發(fā)機(jī)構(gòu)(CA)的響應(yīng)緩存在Web服務(wù)器上,從而避免了每次客戶端發(fā)起連接時(shí)都要進(jìn)行OCSP查詢的開銷。

OCSP Stapling通過(guò)服務(wù)器自行獲取和提供OCSP響應(yīng),避免了客戶端每次連接都要發(fā)起OCSP查詢的開銷,并提高了驗(yàn)證的性能和安全性。

CDN中的OCSP Stapling是什么?有必要開啟嗎?

推薦開啟OCSP Stapling

OCSP Stapling在很大程度上解決網(wǎng)站設(shè)置HTTPS后訪問(wèn)速度變慢的問(wèn)題。

在服務(wù)器上部署OCSP Stapling能極大地提高安全穩(wěn)定性能、使網(wǎng)站訪問(wèn)速度更快,用戶體驗(yàn)更好。

什么是OCSP Stapling

什么是OCSP Stapling
OCSP裝訂(OCSP Stapling),也稱OCSP封套,是一個(gè)TLS證書狀態(tài)查詢擴(kuò)展,作為在線證書狀態(tài)協(xié)議的代替方法對(duì)X.509證書狀態(tài)進(jìn)行查詢,目的是讓證書使用者(例如瀏覽器)如何知道一個(gè)證書是否有效(證書頒發(fā)者有時(shí)候需要作廢某些證書)。OCSP 響應(yīng)本身經(jīng)過(guò)了數(shù)字簽名,無(wú)法偽造,所以 OCSP Stapling 技術(shù)既提高了握手效率,也不會(huì)影響安全性。

服務(wù)器在TLS握手時(shí)可以發(fā)送事先緩存的OCSP響應(yīng),用戶只需驗(yàn)證該響應(yīng)的有效性而不用再向數(shù)字證書認(rèn)證機(jī)構(gòu)(CA)發(fā)送請(qǐng)求.

為什么要開啟 OCSP Stapling,這里再簡(jiǎn)單介紹下:

OCSP(Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議)是用來(lái)檢驗(yàn)證書合法性的在線查詢服務(wù),一般由證書所屬 CA 提供。某些客戶端會(huì)在 TLS 握手階段進(jìn)一步協(xié)商時(shí),實(shí)時(shí)查詢 OCSP 接口,并在獲得結(jié)果前阻塞后續(xù)流程。OCSP 查詢本質(zhì)是一次完整的 HTTP 請(qǐng)求 - 響應(yīng),這中間 DNS 查詢、建立 TCP、服務(wù)端處理等環(huán)節(jié)都可能耗費(fèi)很長(zhǎng)時(shí)間,導(dǎo)致最終建立 TLS 連接時(shí)間變得更長(zhǎng)。

而 OCSP Stapling(OCSP 封套),是指服務(wù)端主動(dòng)獲取 OCSP 查詢結(jié)果并隨著證書一起發(fā)送給客戶端,從而讓客戶端跳過(guò)自己去驗(yàn)證的過(guò)程,提高 TLS 握手效率。

Nginx域名解析問(wèn)題

翻閱Nginx錯(cuò)誤日志,發(fā)現(xiàn)有大量域名無(wú)法解析的錯(cuò)誤提示:

ocsp2.globalsign.com could not be resolved (2: Server failure) while
requesting certificate status, responder: ocsp2.globalsign.com

ocsp2.globalsign.com could not be resolved (110: Operation timed out)
while requesting certificate status, responder: ocsp2.globalsign.com

錯(cuò)誤中導(dǎo)致的域名無(wú)法解析的原因有兩個(gè):“2: Server failure”和“110: Operation timed out”,Nginx中的相關(guān)配置如下:

    resolver 10.143.22.116;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

看上去應(yīng)該沒有問(wèn)題,而且在Bash中可以ping通ocsp2.globalsign.com域名,且用openssl能夠獲取OCSP Response,在這里卡了一段時(shí)間,最后終于發(fā)現(xiàn)是IPv6導(dǎo)致的問(wèn)題。在nginx配置中加上關(guān)掉resolver的IPv6解析指令即可解決問(wèn)題。(待驗(yàn)證)

    resolver 10.143.22.116:53 ipv6=off;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

到此這篇關(guān)于CDN中的OCSP Stapling是什么?需要開啟嗎?的文章就介紹到這了,更多相關(guān)CDN OCSP Stapling內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評(píng)論