Https优化方案(优化证书验证篇--OCSP)

最新推荐文章于 2024-07-16 17:48:16 发布
最新推荐文章于 2024-07-16 17:48:16 发布
阅读量1.2w 收藏 7
点赞数 3
分类专栏: HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/supertor/article/details/84861500
版权

一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。

OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程中返回给客户端。增加的握手信息大小在1KB以内,但省去了用户代理独立验证吊销状态的时间。
启用OCSP stapling的方式有很多种,比如在线校验。此方式需要支持服务器能够主动访问证书校验服务器才能生效,并且在每次重启nginx的时候会主动请求一次,如果网络不通会导致nginx启动缓慢。

# 启用OCSP stapling
ssl_stapling on;
# valid表示缓存5分钟,resolver_timeout表示网络超时时间
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;         
# 启用OCSP响应验证,OCSP信息响应适用的证书   
ssl_stapling_verify on;  
ssl_trusted_certificate /usr/local/nginx/ssl_cert/cd.crt;

为了更可靠,你也可以人工负责更新文件内容,设定Nginx直接从文件获取OCSP响应而无需从服务商拉取。

# 启用OCSP stapling
ssl_stapling on;
ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;            
# 启用OCSP响应验证,OCSP信息响应适用的证书   
ssl_stapling_verify on;  
ssl_trusted_certificate /usr/local/nginx/ssl_cert/cd.crt;

nginx配置示例 *.conf文件

# OCSP Stapling
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 114.114.114.114 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
    resolver_timeout 5s;
    ssl_trusted_certificate chain.pem;

操作指导可以看这篇详细的 https://quchao.com/entry/how-to-configure-ocsp-stapling-on-nginx-for-the-certificates-issued-by-lets-encrypt/

supertor
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OCSP 测试服务器
wuwenlong527的专栏
10-16 4587
 需要寻找一个OCSP测试服务器,今天找到一个,以下为简介:想请参照:http://www.openvalidation.org/useocspservicenew.htmHow to test client applications with OpenValidation.orgDevelopers can use the OpenValidation.org Responder Ser
Https优化方案与测试结果
arthurkiller
05-08 4044
https 优化测试背景https 是基于http 和 ssl(安全套接字层) 的安全传输协议,使用ssl 协议作为会话层协议。这个协议最早是由网景公司 开发,但是随着网景的没落,现在由ietf负责维护,最初的版本也已经重新冠名(re-banded)tls(安全传输层协议) 1.0(1999年)。因此现在大部分协议是基于TLS的,尽管是相似的东西。针对https,能够保证数据更加安全,但是副作用是访
OCSP
weixin_30275415的博客
04-27 655
一、简介 二、协议 三、其他 1)OCSP装订 https://zh.wikipedia.org/wiki/OCSP%E8%A3%85%E8%AE%A2 转载于:https://www.cnblogs.com/274914765qq/p/6777326.html
SSL证书启用 OCSP Stapling(OCSP装订)
最新发布
weixin_42378246的博客
07-16 296
确保 Apache 已编译并支持 OCSP Stapling。通常现代版本的 Apache 都支持。确保 Nginx 已编译并支持 OCSP Stapling。通常现代版本的 Nginx 都支持。这样可以减少客户端的请求次数,加快连接速度,同时提高证书状态检查的安全性。完成以上步骤后,OCSP Stapling 就会在 IIS 上启用。以下配置方法仅供参考,请根据自己的实际情况配置。这样就启用了 OCSP Stapling。这样就启用了 OCSP Stapling。在你的 Nginx 配置文件中(通常是。
nginx优化httpsocsp
无风的雨
06-18 2229
当用户使用客户端或其他的设备访问https网站时,需要先验证https证书验证方式有两种: 1.证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号。客户端通过访问CRL来验证网站证书是否有效。 2.在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当
OCSP是什么
nzyzy的博客
03-15 6615
OCSP的定义 OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。 OCSP与CRL比较: 1)与CRL相比OC
你的 https 请求偶尔会慢几拍?也许你需要看看 OCSP stapling
刘泽美的博客
12-13 1304
你的 https 请求偶尔会慢几拍?也许你需要看看 OCSP stapling 导读 1.1 读完本文,您将收获: 连接速度更快、更稳定的web项目。 1.2 本文面向人群。 服务器在海外 使用诸如 letsencrypt 之类 OCSP 服务器访问慢的 ssl 服务器使用 nginx 或 caddy 做网页服务器。 正文 1. OCSP概述 1.1 概念 OCSP:在线证书状态协议(Online Certificate Status Protocol),被用于检验证书合法性。 浏览器访
Php Ocsp:php在线证书状态协议-开源
05-13
在线证书状态协议(Online Certificate Status Protocol,简称OCSP)是一种互联网标准,用于实时验证数字证书的有效性。它由IETF在RFC 2560文档中定义,旨在解决传统的证书撤销列表(CRL)机制的效率问题。在CRL中,...
HTTPS 性能优化:启用 OCSP Stapling
# 第一章:理解HTTPSOCSP Stapling ## 1.1 什么是HTTPS? 在互联网传输数据时,HTTPS(Hyper Text Transfer Protocol Secure)是一种通过传输层安全性协议(TLS)或安全套接层协议(SSL)来加密数据的网络协议。...
行业分类-设备装置-一种Android环境下应用程序启动中代码签名验证的方法和系统.zip
09-10
例如,该系统可能检查签名证书的有效期、证书吊销列表(CRL)或在线证书状态协议(OCSP)来确认证书状态,防止使用已撤销的证书。 在Android环境中,系统会在安装应用时验证签名,如果签名无效或与系统预设的签名不...
HTTP协议28 丨 连接太慢该怎么办:HTTPS优化
qq_53280238的博客
07-08 1021
你可能或多或少听别人说过,“HTTPS 的连接很慢”。那么“慢”的原因是什么呢?通过前两讲的学习,你可以看到,HTTPS 连接大致上可以划分为两个部分,第一个是建立连接时的,第二个是握手后的。由于目前流行的 AES、ChaCha20 性能都很好,还有硬件优化,报文传输的性能损耗可以说是非常地小,小到几乎可以忽略不计了。所以,通常所说的“HTTPS 连接慢”指的就是刚开始建立连接的那段时间。
在线证书状态协议-OCSP
11-26
在线证书状态协议-OCSP 在线证书状态协议-OCSP介绍及用法
OCSP介绍以及使用OpenSSL编程实现
lt4959的专栏
10-15 5048
首先我们知道在PKI体系中,证书的生命周期如下所示, 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢?为解决对CA证书有效性方面的查询,PKI引入了CRL(Certificate Revocation List)和OCSP(Online Certificate
NGINX配置HTTPS OCSP完整过程
HalsonHe的专栏
07-13 4627
转:https://sillydong.com/mysa/myserver/https_openssl.html最近在调试https,买了一个godaddy的证书ocsp的配置一直不成功,参考了网上各种文档,从godaddy的存储库下载各种证书,尝试各种搜索结果均无果,后来申请了一个startssl的证书,简单配置了一下,从官网下在了根证书和中间证书合成了一下就可以用ocsp了,邮件给start...
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 2745
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
ocsp协议_什么是在线证书状态协议(OCSP)和示例教程?
cunjiu9486的博客
10-06 4847
ocsp协议Certificates like SSL, X.509 are used to secure network traffic. But every certificate has its own life cycle in a distributed environmentlike the internet we should manage them. Online Certifi...
Https SSL证书 本地化OCSP地址是什么
hwssz的专栏
03-04 447
通过远程复现问题并抓包,我们发现在客户电脑上每次打开专用浏览器都会先访问一个国外证书网站在继续请求,而访问国外证书的网站的不稳定性导致了无法正常打开网站。我们实际使用中发现2000左右的DV证书 证书授权信息地址是国外的,而5000左右的OV证书证书授权信息地址是国内的地址。大家可以看看访问网站的证书的详细信息中授权信息访问那一行,可以知道浏览器在校验这个证书时会去访问的授权信息地址了。在给网站换上了阿里云的OV证书后,地区反馈访问网站已经正常了,这个访问白屏的问题解决了。
27.openssl编程——OCSP
艾小小雨的博客
01-25 2502
27.1 概述 在线证书状态协议(OCSP, Online Certificate Status Protocol,rfc2560)用于实时表明证书状态。OCSP客户端通过查询OCSP服务来确定一个证书的状态。OCSP可以通过HTTP协议来实现。 27.2 Openssl实现 openssl在crypto/ocsp目录实现了ocsp模块,包括客户端和服务端各种函数 *ocsp_a...
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3321
文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
配置BIG-IP系统以使用OCSP响应器进行SSL证书验证
文档提供了在F5 BIG-IP系统上实施OCSP撤销检查的详细步骤,有助于提高网络服务的安全性和证书验证的可靠性。通过正确配置OCSP响应器和Profile,管理员可以确保其网络环境中的证书状态始终处于可验证状态,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值