当前位置:论坛首页 > Linux面板 > 建议

Nginx启用OCSP Stapling

发表在 Linux面板2017-12-12 23:15 [复制链接] 4 3406

当我们通过HTTPS访问网站的时候,客户端(浏览器或其他设备)会首先通过证书颁发机构的证书吊销列表(CRL)或者数字证书在线状态协议(OCSP)记录验证网站服务器的证书是否有效。前一种验证方式是最低效的,CA会不断向CRL文件添加证书吊销记录,CRL文件就会变得越来越大,客户端在验证前就需要耗费越来越长的时间来下载CRL文件。

相比CRL验证方式,OCSP就更加高效,OCSP每次只查询并获取一条记录。但同时也存在副作用,因为OCSP服务器通常是由CA提供的一台中心化第三方的OCSP验证服务器,在一定程度上也会存在查询延迟和黑客攻击的危险。一旦有黑客或者组织对CA的OCSP发动DDos攻击,客户端便无法从OCSP服务器获取查询结果并完成证书验证, 客户端就可能会提示网站不受信任。
今天我们讨论的Nginx OCSP Stapling机制就非常先进, 该机制会在客户端和服务器发生TLS握手的过程中发送缓存在网站服务器上的OCSP权威记录到客户端进行证书验证。这样一来,客户端就无需每次都向CA的OCSP进行查询了,同时也降低了由于CA OCSP服务器被DDos造成证书无法验证的事件发生的可能性。
值得注意的是: Nginx会在客户端的HELLO握手信息中返回OCSP记录,并且只有当客户端对Nginx发出OCSP信息请求的情况下,Nginx才会发送缓存的OCSP 权威记录到客户端。
大多数的服务器都会缓存48小时内的OCSP权威记录,同时在到期前,服务器也会向CA的OCSP服务器更新最新的OCSP权威记录进行缓存。


开了https网站会变慢,http2也不好使啊几乎体验不到作用,这个OCSP Stapling能不能考虑加进来,能加快ssl的速度?
使用道具 举报 只看该作者 回复
发表于 2017-12-13 10:16:32 | 显示全部楼层
会考虑 感谢支持
使用道具 举报 回复 支持 反对
发表于 2019-11-20 09:09:35 | 显示全部楼层
河妖 发表于 2017-12-13 10:16
会考虑 感谢支持

大佬 OCSP Stapling 啥时候可以上日程!
使用道具 举报 回复 支持 反对
发表于 2019-11-20 10:28:43 | 显示全部楼层
不懂这块,反正我全部网站已经都是https了,而且一点都不慢啊...打开都是零点几秒...

哈哈,兄弟,你用iphone的safari访问你的https站点试试。  发表于 2020-9-25 19:51
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表