Nginx之OCSP stapling配置

最新推荐文章于 2024-08-15 02:24:15 发布
最新推荐文章于 2024-08-15 02:24:15 发布
阅读量5.4k 收藏
点赞数
分类专栏: Fundebug Nginx 文章标签: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fundebug/article/details/79671891
版权
本文介绍了OCSP stapling的作用,解决隐私和性能问题,并详细阐述了如何在Nginx中配置OCSP stapling,包括检测、解决resolver问题以及完整的配置示例。
摘要由CSDN通过智能技术生成

小编推荐: Fundebug提供JS、微信小程序、微信小游戏,Node.js和Java错误监控。真的是一个很好用的错误监控服务,众多大佬公司都在使用。

摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。

什么是OCSP stapling?

OCSP的全称是Online Certificate Status Protocol,即在线证书状态协议。顾名思义,它是一个用于检查证书状态的协议,浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看https://www.fundebug.com的证书详情,可以看到OCSP的查询地址:

Fundebug使用的是Let’s Encrypt的免费证书,其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。

OCSP存在隐私性能问题。一方面,浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构),会暴露网站的访客(Let’s Encrypt会知道哪些用户在访问Fundebug);另一方面,浏览器进行OCSP查询会降低HTTPS性能(访问Fundebug会变慢)。

为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。这样解决了隐私性能问题。

检测OCSP stapling

SSL Labs能够对开启HT

最低0.47元/天 解锁文章
Fundebug
关注
专栏目录
Nginx实战】Nginx开启OCSP stapling
李维山的博客
07-24 3132
1、首先科普一下什么是OCSP stapling: 2、Nginx开启OCSP stapling配置: server { listen 80; listen 443 ssl http2; server_name oyhdo.com index index.html index.php index.htm default.php default.htm default.html; root /www/wwwroot/oyhdo.com/publi...
Nginx 实现OCSP Stapling
vTrus
01-25 1176
什么是OCSP Stapling OCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。 Web容器版本支持 Nginx version 1.3.7以上支持 Apache Server 2.3.3+ 以上支持 自动OCSP Stapl
在线证书状态协议 (OCSP) 详解及其应用
最新发布
weixin_37085861的博客
08-15 287
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
Nginx 启用 OCSP Stapling的配置
09-30
本篇文章主要介绍了Nginx 启用 OCSP Stapling的配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
OCSP Stapling是干什么的?底层原理是什么?
长风破浪会有时的博客
07-03 945
OCSP Stapling的关键是将CA的OCSP响应绑定到服务器的证书上,并由服务器周期性地获取最新的OCSP响应。这提高了性能和安全性,因为客户端无需等待CA的响应,并且可以信任服务器提供的OCSP响应,因为它是由服务器自行获取并绑定的。在传统的SSL/TLS握手过程中,客户端会发送一个OCSP查询请求到CA的OCSP服务,以检查服务器证书的状态。总结来说,OCSP Stapling通过服务器自行获取和提供OCSP响应,避免了客户端每次连接都要发起OCSP查询的开销,并提高了验证的性能和安全性。
Nginx“ upstream prematurely closed connection while reading response header from upstream“问题排查
热门推荐
JineD的博客
04-12 1万+
问题背景   我们这边是一个基于Nginx的API网关(以下标记为A),最近两天有调用方反馈,偶尔会出现502错误,我们从Nginx的error日志里看,就会发现有" upstream prematurely closed connection while reading response header from upstream"这么一条错误日志,翻译过来其实就是上游服务过早的关闭了连接,意思很清楚,但是为什么会出现这种情况呢。而且是在业务低峰出现这种情况(也只是小概率的出现),在业务高峰的时候没有出现
CDN通过openresty库实现ocsp stapling,有效提升客户端回源效率
stefan1240的专栏
05-08 1856
背景 最近在开发CDN在线加速功能,各个CDN厂商都支持了oscp stapling 功能,所以我们的产品必须也要实现它。实现它的好处就是:可以省掉浏览器和CA机构的服务器校验证书的时间,这样可以提高浏览器的响应速度。 一、什么是ocsp stapling 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等)...
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢
seowen的开发 小本子
06-15 3529
问题: 后端Linux服务,使用Let’s Encrypt 的 HTTPS 证书。 App端,分为Android 和 IOS, IOS系统通过H5访问后端接口, 速度非常不稳定,点击请求按钮后,5-10秒钟,nginx才看到请求日志。 而Android 没有这个问题。 这个问题,很头疼,怀疑是前端 IOS编译器打包的问题, 但却无从解决。 怀疑是网络带宽问题,但是查看发现,带宽剩余很充足。 后来,在一头雾水的情况下, 尝试直接 http访问,而不用 https。 发现速度一下子变正常了,也很...
在lua连接Kafka的异常处理:send() failed (111: Connection refused) while resolving
来自技术小白的挣扎
08-30 4461
Lua连接Kafka的时候,Kafka无法消费topic中的数据 首先确保zookeeper已经启动,而且nginx.conf中已经配置好lua的路径 然后重启nginx 如果还是不行,在kafka中的config/server.properties配置文件中更改以下信息 listeners=PLAINTEXT://192.168.XXX.XXX:9092 host.name=192...
阿里云 CDN HTTPS 最佳实践——OCSP Stapling
weixin_34148340的博客
11-13 564
背景 下图是互联网 PKI 证书的生命周期: 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式...
Https优化方案(优化证书验证篇--OCSP
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
如何在 Apache 和 Nginx配置 OCSP Stapling
rubys007的博客
04-22 1632
OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书。
什么是OCSP Stapling
thinker
08-24 480
随着人们对网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面有了质的飞跃,提升了访问者对网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失。怎么办?OCSP Stapling将在很大程度上解决网站设置HTTPS后访问速度变慢的问题。 背景 首先,我们先了解一下互联网PKI证书的生命周期。 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有将该证书吊销,那么这个证书就是有效可信任的。但是,由于某些特殊原因(比如
upstream prematurely closed connection while reading upstream 错误
清澈湛蓝的天
12-03 1万+
2015/12/03 16:07:50 [error] 6597#0: *10627335 upstream prematurely closed connection while reading upstream, client: 27.38.35.212, server: iface2.iqiyi.com, request: "POST /php/xyz/iface/?key=10020202
nginx nodejs 502 upstream prematurely closed connection while reading response header from upstream
pengpengzhou的博客
09-14 4898
问题描述: 在nginx + nodejs的应用场景中,请求URL中如果含有不能进行编码的非法字符则nodejs http server会直接socket hang up断开连接,导致nginx报错"upstream prematurely closed connection while reading response header from upstream", nginx对客户端返回502...
nginx的https怎么配置
11-17
以下是nginx配置https的步骤: 1. 生成SSL证书和密钥文件 ```shell # 生成私钥文件 openssl genrsa -out server.key 2048 # 生成证书签名请求文件 openssl req -new -key server.key -out server.csr # 生成自签名证书文件 openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 2. 修改nginx配置文件 ```shell # 打开nginx配置文件 vim /usr/local/nginx/conf/nginx.conf ``` 在http块中添加以下内容: ```nginx # 定义SSL证书和密钥文件的路径 ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 定义SSL协议和加密算法 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; # 开启SSL会话缓存 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 开启OCSP Stapling ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/server.crt; resolver 8.8.8.8; ``` 在server块中添加以下内容: ```nginx # 定义监听端口和SSL协议 listen 443 ssl; # 定义服务器名称 server_name example.com; # 定义SSL证书和密钥文件的路径 ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 定义SSL协议和加密算法 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; # 开启SSL会话缓存 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 开启OCSP Stapling ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/server.crt; resolver 8.8.8.8; # 定义网站根目录和默认首页 root /path/to/website; index index.html; ``` 3. 重启nginx服务 ```shell # 检查nginx配置文件是否正确 nginx -t # 重启nginx服务 nginx -s reload ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值