欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

CDN中的OCSP?Stapling是什么?需要開啟嗎?

 更新時間:2024年01月07日 18:19:39   作者:安語未  
最近使用CDN時,CDN后臺都有一個OCSP?Staplin的選項,一般在設(shè)置HTTPS里面,不知道什么意思,這里簡單為大家分享一下

我們在使用CDN時,CDN后臺都有一個OCSP Staplin的選項,一般在設(shè)置HTTPS里面,如下圖位子:

CDN中的OCSP Stapling是什么?有必要開啟嗎?

那么這個OCSP Stapling是什么了,我們看看介紹。

OCSP Stapling簡介

OCSP(Online Certificate Status Protocol)Stapling是一種用于提高SSL/TLS證書驗證性能和安全性的機(jī)制。它通過將證書頒發(fā)機(jī)構(gòu)(CA)的響應(yīng)緩存在Web服務(wù)器上,從而避免了每次客戶端發(fā)起連接時都要進(jìn)行OCSP查詢的開銷。

OCSP Stapling通過服務(wù)器自行獲取和提供OCSP響應(yīng),避免了客戶端每次連接都要發(fā)起OCSP查詢的開銷,并提高了驗證的性能和安全性。

CDN中的OCSP Stapling是什么?有必要開啟嗎?

推薦開啟OCSP Stapling

OCSP Stapling在很大程度上解決網(wǎng)站設(shè)置HTTPS后訪問速度變慢的問題。

在服務(wù)器上部署OCSP Stapling能極大地提高安全穩(wěn)定性能、使網(wǎng)站訪問速度更快,用戶體驗更好。

什么是OCSP Stapling

什么是OCSP Stapling
OCSP裝訂(OCSP Stapling),也稱OCSP封套,是一個TLS證書狀態(tài)查詢擴(kuò)展,作為在線證書狀態(tài)協(xié)議的代替方法對X.509證書狀態(tài)進(jìn)行查詢,目的是讓證書使用者(例如瀏覽器)如何知道一個證書是否有效(證書頒發(fā)者有時候需要作廢某些證書)。OCSP 響應(yīng)本身經(jīng)過了數(shù)字簽名,無法偽造,所以 OCSP Stapling 技術(shù)既提高了握手效率,也不會影響安全性。

服務(wù)器在TLS握手時可以發(fā)送事先緩存的OCSP響應(yīng),用戶只需驗證該響應(yīng)的有效性而不用再向數(shù)字證書認(rèn)證機(jī)構(gòu)(CA)發(fā)送請求.

為什么要開啟 OCSP Stapling,這里再簡單介紹下:

OCSP(Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議)是用來檢驗證書合法性的在線查詢服務(wù),一般由證書所屬 CA 提供。某些客戶端會在 TLS 握手階段進(jìn)一步協(xié)商時,實時查詢 OCSP 接口,并在獲得結(jié)果前阻塞后續(xù)流程。OCSP 查詢本質(zhì)是一次完整的 HTTP 請求 - 響應(yīng),這中間 DNS 查詢、建立 TCP、服務(wù)端處理等環(huán)節(jié)都可能耗費(fèi)很長時間,導(dǎo)致最終建立 TLS 連接時間變得更長。

而 OCSP Stapling(OCSP 封套),是指服務(wù)端主動獲取 OCSP 查詢結(jié)果并隨著證書一起發(fā)送給客戶端,從而讓客戶端跳過自己去驗證的過程,提高 TLS 握手效率。

Nginx域名解析問題

翻閱Nginx錯誤日志,發(fā)現(xiàn)有大量域名無法解析的錯誤提示:

ocsp2.globalsign.com could not be resolved (2: Server failure) while
requesting certificate status, responder: ocsp2.globalsign.com

ocsp2.globalsign.com could not be resolved (110: Operation timed out)
while requesting certificate status, responder: ocsp2.globalsign.com

錯誤中導(dǎo)致的域名無法解析的原因有兩個:“2: Server failure”和“110: Operation timed out”,Nginx中的相關(guān)配置如下:

    resolver 10.143.22.116;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

看上去應(yīng)該沒有問題,而且在Bash中可以ping通ocsp2.globalsign.com域名,且用openssl能夠獲取OCSP Response,在這里卡了一段時間,最后終于發(fā)現(xiàn)是IPv6導(dǎo)致的問題。在nginx配置中加上關(guān)掉resolver的IPv6解析指令即可解決問題。(待驗證)

    resolver 10.143.22.116:53 ipv6=off;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

到此這篇關(guān)于CDN中的OCSP Stapling是什么?需要開啟嗎?的文章就介紹到這了,更多相關(guān)CDN OCSP Stapling內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論