Nginx之OCSP stapling配置

最新推荐文章于 2023-11-08 09:18:16 发布
VIP文章 最新推荐文章于 2023-11-08 09:18:16 发布
阅读量5.3k 收藏
点赞数
分类专栏: Fundebug Nginx 文章标签: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fundebug/article/details/79671891
版权

小编推荐: Fundebug提供JS、微信小程序、微信小游戏,Node.js和Java错误监控。真的是一个很好用的错误监控服务,众多大佬公司都在使用。

摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。

什么是OCSP stapling?

OCSP的全称是Online Certificate Status Protocol,即在线证书状态协议。顾名思义,它是一个用于检查证书状态的协议,浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看https://www.fundebug.com的证书详情,可以看到OCSP的查询地址:

Fundebug使用的是Let’s Encrypt的免费证书,其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。

OCSP存在隐私性能问题。一方面,浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构),会暴露网站的访客(Let’s Encrypt会知道哪些用户在访问Fundebug);另一方面,浏览器进行OCSP查询会降低HTTPS性能(访问Fundebug会变慢)。

为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。这样解决了隐私性能问题。

最低0.47元/天 解锁文章
Fundebug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 启用 OCSP Stapling的配置
01-10
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP ...
OCSP Stapling是干什么的?底层原理是什么?
长风破浪会有时的博客
07-03 488
OCSP Stapling的关键是将CA的OCSP响应绑定到服务器的证书上,并由服务器周期性地获取最新的OCSP响应。这提高了性能和安全性,因为客户端无需等待CA的响应,并且可以信任服务器提供的OCSP响应,因为它是由服务器自行获取并绑定的。在传统的SSL/TLS握手过程中,客户端会发送一个OCSP查询请求到CA的OCSP服务,以检查服务器证书的状态。总结来说,OCSP Stapling通过服务器自行获取和提供OCSP响应,避免了客户端每次连接都要发起OCSP查询的开销,并提高了验证的性能和安全性。
Nginx 实现OCSP Stapling
vTrus
01-25 1106
什么是OCSP Stapling OCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。 Web容器版本支持 Nginx version 1.3.7以上支持 Apache Server 2.3.3+ 以上支持 自动OCSP Stapl
在lua连接Kafka的异常处理:send() failed (111: Connection refused) while resolving
来自技术小白的挣扎
08-30 4305
Lua连接Kafka的时候,Kafka无法消费topic中的数据 首先确保zookeeper已经启动,而且nginx.conf中已经配置好lua的路径 然后重启nginx 如果还是不行,在kafka中的config/server.properties配置文件中更改以下信息 listeners=PLAINTEXT://192.168.XXX.XXX:9092 host.name=192...
Nginx 关于 OCSP 的调试部署
myarche的博客
12-04 2267
因为某些浏览器的原因,可能我们需要为证书配置 OCSP 。 花了一下午进行调试和整理,现在已经成功,现在写下心得。 证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书。 如何生成 csr 并生成密钥,并购买证书,因为教程比较多,这里就不在阐述了。 一般我们购买证书之后,在邮件或者等地方都可以下载到我们需要的证书文件,常见的压缩包里会包含两个: doamin.crt 也就是我们的域名网站证书 domain.ca-bundle 捆绑证书,包含根证书和中间证书。 当然如果没.
解决Nginx错误:Upstream prematurely closed connection while reading response header from upstream
Fly的博客
11-08 4929
nginx error log】 /var/log/nginx/error.log: 级别:error 类型: [other] 次数: 1 错误信息(只取第一条): upstream prematurely closed connection while reading response header from upstream, client: 50.30.156.24 server: xx requests: "GET x HTTP/1.1" upstream: "x。
nginx泛域名解析配置教程
09-30
主要介绍了nginx泛域名解析配置教程,需要的朋友可以参考下
nginx mine.types配置文件
02-13
nginx 配置文件。
Nginx配置虚拟主机vhost
10-21
当一台服务器上,需要使用nginx部署多套项目时,将所有项目配置在同一config 下,容易出现混乱,维护起来也比较困难。 部署多项目时,因为每个项目启动都会有不一样的端口号,客户端请求的时候需要带相应端口号,...
java ocsp校验_Nginx使用OCSP验证客户端证书
weixin_39747755的博客
02-25 853
此前,Nginx只支持OSCP验证服务器证书。目前,Nginx 1.19.0+已经支持使用OSCP验证客户端证书:https://trac.nginx.org/nginx/ticket/1534有关Nginx双向证书验证的详细配置可以参考笔者的《Nginx双向证书校验(服务器验证客户端证书)》一文。如下配置:server {listen 50443;ssl on;server_name examp...
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢
seowen的开发 小本子
06-15 3457
问题: 后端Linux服务,使用Let’s Encrypt 的 HTTPS 证书。 App端,分为Android 和 IOS, IOS系统通过H5访问后端接口, 速度非常不稳定,点击请求按钮后,5-10秒钟,nginx才看到请求日志。 而Android 没有这个问题。 这个问题,很头疼,怀疑是前端 IOS编译器打包的问题, 但却无从解决。 怀疑是网络带宽问题,但是查看发现,带宽剩余很充足。 后来,在一头雾水的情况下, 尝试直接 http访问,而不用 https。 发现速度一下子变正常了,也很...
HOWTO-OCSP-RESPONDER (水平有限,仅供参考,进行中.....)
wuwenlong527的专栏
10-21 2735
This file describes how to configure ant start the OCSP responder.本文描述如何配置ant启动OCSP响应器Setting up external OCSP responders===================================构建外部OCSP响应器Introduction------------You can s
Https优化方案(优化证书验证篇--OCSP
热门推荐
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
阿里云 CDN HTTPS 最佳实践——OCSP Stapling
weixin_34148340的博客
11-13 538
背景 下图是互联网 PKI 证书的生命周期: 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式...
什么是OCSP Stapling
thinker
08-24 415
随着人们对网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面有了质的飞跃,提升了访问者对网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失。怎么办?OCSP Stapling将在很大程度上解决网站设置HTTPS后访问速度变慢的问题。 背景 首先,我们先了解一下互联网PKI证书的生命周期。 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有将该证书吊销,那么这个证书就是有效可信任的。但是,由于某些特殊原因(比如
配置证书 OCSP 成功
记录点滴
10-11 481
参考资料: OpenSSL 通过OCSP手动验证证书 https://www.cnblogs.com/penghuster/p/6895714.html 免费SSL证书的OCSP问题 http://www.manongjc.com/detail/19-mhvsinmgxxhfnqa.html 从无法开启 OCSP Stapling 说起,OCSP是什么 https://blog.51cto.com/professor/1841618 ...
nginx的https怎么配置
最新发布
11-17
2. 修改nginx配置文件 ```shell # 打开nginx配置文件 vim /usr/local/nginx/conf/nginx.conf ``` 在http块中添加以下内容: ```nginx # 定义SSL证书和密钥文件的路径 ssl_certificate /path/to/server....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值