Https SSL证书 本地化OCSP地址是什么

于 2024-03-04 17:52:50 发布
阅读量408 收藏 6
点赞数 5
文章标签: https ssl 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwssz/article/details/136458464
版权

OCSP地址即SSL证书中的OCSP验签服务器

最近在做的一个项目上线,前线反馈某些地区访问网站显示白屏,直接影响当地用户使用。公司系统是使用公司自研专用的浏览器登录的,是基于早期谷歌浏览器的开源组件开发的,常出现谷歌访问正常而专用浏览器不行的情况。通过远程复现问题并抓包,我们发现在客户电脑上每次打开专用浏览器都会先访问一个国外证书网站在继续请求,而访问国外证书的网站的不稳定性导致了无法正常打开网站。由于没了解过浏览器证书的校验,我先百度了下SSL网站的校验流程。

1. 客户端发送信息,带上支持的SSL或者TLS版本(注意不同浏览器版本支持不同)

2. 服务器返回确认使用的加密通信协议版本以及加密随机数和证书

3. 浏览器验证证书 -> OCSP或者CRL 结合自带truststore

抓包显示是卡在第三步,访问证书的OCSP地址获取证书授权信息进行校验。

对于这个问题解决方案有2个,1、升级浏览器内核,开发周期较长,难度大。2、购买本地化OCSP地址的证书,这样获取证书的信息的链接能正常请求。

我们服务部署在阿里云上门,证书也是在阿里云上面购买的。阿里云证书有免费DV证书,还有通配符DV证书 2000左右 OV证书5000左右。我们实际使用中发现2000左右的DV证书 证书授权信息地址是国外的,而5000左右的OV证书证书授权信息地址是国内的地址。所以对于生产环境选用OV证书更为稳定。大家可以看看访问网站的证书的详细信息中授权信息访问那一行,可以知道浏览器在校验这个证书时会去访问的授权信息地址了。

在给网站换上了阿里云的OV证书后,地区反馈访问网站已经正常了,这个访问白屏的问题解决了。

对于国内业务的网站推荐购买具有本地化ocsp功能的证书,这样避免出现奇葩的网络问题

hwssz
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你的 https 请求偶尔会慢几拍?也许你需要看看 OCSP stapling
刘泽美的博客
12-13 1267
你的 https 请求偶尔会慢几拍?也许你需要看看 OCSP stapling 导读 1.1 读完本文,您将收获: 连接速度更快、更稳定的web项目。 1.2 本文面向人群。 服务器在海外 使用诸如 letsencrypt 之类 OCSP 服务器访问慢的 ssl 服务器使用 nginx 或 caddy 做网页服务器。 正文 1. OCSP概述 1.1 概念 OCSP:在线证书状态协议(Online Certificate Status Protocol),被用于检验证书合法性。 浏览器访
nginx优化httpsocsp
无风的雨
06-18 2207
当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种: 1.证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号。客户端通过访问CRL来验证网站证书是否有效。 2.在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当
Https优化方案(优化证书验证篇--OCSP
热门推荐
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
NGINX配置HTTPS OCSP完整过程
HalsonHe的专栏
07-13 4571
转:https://sillydong.com/mysa/myserver/https_openssl.html最近在调试https,买了一个godaddy的证书ocsp的配置一直不成功,参考了网上各种文档,从godaddy的存储库下载各种证书,尝试各种搜索结果均无果,后来申请了一个startssl证书,简单配置了一下,从官网下在了根证书和中间证书合成了一下就可以用ocsp了,邮件给start...
HTTPS基础原理和配置-3
east4ming的博客
02-15 1680
书接上文:HTTPS 基础原理和配置 - 2,接下来介绍: 配置 NGINX 后端 HTTPS 检查配置 配置 HSTS OCSP Stapling 重要部分来了。如何使用这些选项并配置NGINX? 一、NGINX 的 HTTPS 配置 这里有一些基本的原语(或叫做指令),你可以使用:ssl_certificate、ssl_certificate_key、ssl_protocols 和ssl_ciphers。 1.1 NGINX 配置参数(OpenSSL) 在开始之前: NGINX 处理 TLS 的方式
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 2622
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
开启OCSP提升https证书验证效率解决Let’s Encrypt SSL证书访问慢的问题
01-08
这几天网站访问出现第一次打开网站特别慢,打开以后页面打开速度正常的问题,经过研究发现是HTTPS证书验证超时的问题,证书商的验证URL无法访问不知道是线路问题还是被墙了。 请教了几位大神如何解决HTTPS证书验证...
https安全认证的证书文件 ssl.zip
04-01
如果证书被盗用或不再需要,可以通过CRL(Certificate Revocation List)或OCSP(Online Certificate Status Protocol)进行证书吊销。 总之,HTTPS安全认证的证书文件对于保护用户隐私、确保网站数据安全至关重要...
OCSP Evaluator:对当前 TLS/SSL 证书执行 OCSP 吊销检查-开源
07-18
浏览器的 WebExtension 执行 OCSP 请求以获取当前访问的网站上所有使用的 SSL 证书的吊销状态。 由于浏览器 API 的限制,OCSP 请求不能由浏览器本身执行。 因此,请求是在服务器上完成的,该服务器提供了一个简单的 ...
nginx配置httpsssl 私钥证书
01-08
本篇将详细介绍如何在Nginx上配置HTTPS,使用SSL私钥证书来确保数据传输的安全。 首先,了解SSL(Secure Sockets Layer)及其升级版TLS(Transport Layer Security)是网络安全的基础。它们通过加密传输,防止数据...
nginx配置下载SSL证书之后在服务器中配置之后就可以https访问
11-01
拿到已签发的SSL证书后,证书通常包括公钥证书(例如:example.crt)、私钥文件(例如:example.key)以及任何必要的中级证书文件(例如:intermediate.crt)。这些文件都需要导入到Nginx的配置中。 接下来是配置...
OCSP环境搭建--Windows Server 2016
CsdnCHong_566的博客
03-18 2172
OCSP环境搭建--Windows Server 2016 一. OCSP环境中相关信息 1. 服务器1 操作系统:Win Server 2016 Standard版 IP地址:172.16.0.19/23,网关:172.16.0.1,首选DNS:127.0.0.1 服务器角色:域控制器、证书颁发机构、radius服务器、DNS服务器 ...
数字证书的相关专业名词(下)---OCSP及其java中的应用
最新发布
学习不止境的博客
04-13 3017
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
JAVA获取服务器证书以及请求OCSP查询证书状态
davenTsang的专栏
01-03 5898
应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。 假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书回客户端。 JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置: <dependency> ...
阿里云 CDN HTTPS 最佳实践——OCSP Stapling
weixin_34148340的博客
11-13 550
背景 下图是互联网 PKI 证书的生命周期: 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式...
OCSP 测试服务器
wuwenlong527的专栏
10-16 4569
 需要寻找一个OCSP测试服务器,今天找到一个,以下为简介:想请参照:http://www.openvalidation.org/useocspservicenew.htmHow to test client applications with OpenValidation.orgDevelopers can use the OpenValidation.org Responder Ser
HTTPS相关优化手段
心梦无痕
01-01 465
HTTPS连接大致上可以划分为两个部分,第一个是建立连接时的非对称加密握手,第二个是握手后的对称加密报文传输。 HTTPS比HTTP增加了一个TLS握手的步骤,这个步骤最长可以花费两个消息往返,也就是2-RTT。而且在握手消息的网络延时消耗外,还会有其他的一些“隐形”消耗,比如: 产生用于密钥交换的临时公私钥对(ECDHE); 验证证书时访问CA获取CRL或者OCSP; 非对称加密解密处理“Pr...
OCSPSSL证书中起什么作用
SSL加密技术
12-21 1043
SSL证书是数字证书的一种,形式上是一组密钥。在服务器上安装了SSL证书后,服务器与终端之间的数据都是通过此密钥进行加密后传输的,防止数据在传输的过程中被窃取、篡改。安装的SSL证书是有一定的生命周期的,并不是可以无限期的使用下去。一种是SSL证书自然过期后,将无法使用,需要再找CA机构签发新的证书;另一种是,因为某些特殊原因在SSL证书过期前,被 CA 机构吊销。但如何判断SSL证书是否在有效期内或是否被吊销呢?这时候 OCSP 就起到了至关重要的作用。 OCSP(Online Certificate
超快全球任播OCSP:白嫖谷歌云免费SSL证书
Toms Project的博客
10-26 2501
谷歌官方的说明文档-->(需智能上网)浅浅机翻一下(顺推销下自己:如果您的Chome浏览器翻译功能不可用,可以按照谷歌翻译在中国大陆无法使用的临时解决方案 | Toms Project 官方博客来免费解决哦!)反正就是一些满正式的介绍,看多了对今天的文章似乎没有什么帮助。到此,如果没有什么特性的话估计大家就不用他的证书了,毕竟还有LetsEncrypt呢。所以,谷歌云的证书还真有点特性。
nginx如何部署ssl证书
02-26
要在 Nginx 上部署 SSL 证书,可以遵循以下步骤: 1. 购买或获取 SSL 证书。您可以从各种证书颁发机构(CA)购买 SSL 证书,或者您可以使用 Let's Encrypt 等免费证书颁发机构获得免费的 SSL 证书。 2. 将 SSL 证书和私钥文件保存在服务器上。将证书文件和私钥文件上传到服务器,通常是在 /etc/nginx/ssl/ 目录下。确保证书和私钥文件的权限设置为只读(例如,chmod 400)。 3. 编辑 Nginx 配置文件。找到您要使用 SSL 的虚拟主机的配置文件,并在 server 块中添加以下指令: ``` listen 443 ssl; ssl_certificate /etc/nginx/ssl/cert.crt; # 证书文件路径 ssl_certificate_key /etc/nginx/ssl/cert.key; # 私钥文件路径 ``` 注意:如果您使用 Let's Encrypt 等免费证书颁发机构颁发的证书,则证书和私钥文件的文件名可能不同,请相应更改文件路径。 4. 配置 SSL 加密套件和其他参数。为了获得最佳性能和安全性,您可能需要配置 SSL 加密套件和其他参数。例如,您可以禁用旧版 SSL 协议(如 SSLv3),启用 HTTP/2,启用 OCSP Stapling 等等。以下是一个例子: ``` ssl_protocols TLSv1.2 TLSv1.3; # 只允许 TLSv1.2 和 TLSv1.3 ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384; ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8; ``` 5. 重新加载 Nginx 配置文件。使用以下命令重新加载 Nginx 配置文件,以便使用 SSL 证书: ``` sudo systemctl reload nginx ``` 现在,您已经成功地在 Nginx 上部署了 SSL 证书,可以通过 HTTPS 访问您的网站。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值