阿里云 CDN HTTPS 最佳实践——OCSP Stapling

最新推荐文章于 2024-09-06 10:13:42 发布
最新推荐文章于 2024-09-06 10:13:42 发布
阅读量578 收藏 1
点赞数
原文链接:https://yq.aliyun.com/articles/241596
版权

背景

下图是互联网 PKI 证书的生命周期:

Https4_1

对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式:CRL(Certificate Revocation List,证书吊销列表)和 OCSP(Online Certificate Status Protocol,在线证书状态协议)

  1. CRL
    CRL 是由 CA 机构维护的一个列表,列表中包含已经被吊销的证书序列号和吊销时间。浏览器可以定期去下载这个列表用于校验证书是否已被吊销。可以看出,CRL 只会越来越大,而且当一个证书刚被吊销后,浏览器在更新 CRL 之前还是会信任这个证书的,实时性较差。在每个证书的详细信息中,都可以找到对应颁发机构的 CRL 地址。
  2. OCSP
    OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,但是 OCSP 也引入了一个性能问题,某些客户端会在 SSL 握手时去实时查询 OCSP 接口,并在得到结果前会阻塞后续流程,这对性能影响很大,严重影响用户体验。(OCSP 地址也在证书的详细信息中)

OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 Certificate Status 消息发送给浏览器,从而让浏览器跳过自己去验证的过程而直接拿到结果,OCSP 响应本身有了签名,无法伪造,所以 OCSP Stapling 既提高了效率也不会影响安全性。另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。

实现

Tengine 开启 OCSP Stapling 的主要配置是:

ssl_stapling               on;

开启 OCSP Stapling 后,抓包验证的结果如下:
_2017_11_13_5_13_58

weixin_34148340
关注
你的 https 请求偶尔慢几拍?也许你需要看看 OCSP stapling
刘泽美的博客
12-13 1368
你的 https 请求偶尔慢几拍?也许你需要看看 OCSP stapling 导读 1.1 读完本文,您将收获: 连接速度更快、更稳定的web项目。 1.2 本文面向人群。 服务器在海外 使用诸如 letsencrypt 之类 OCSP 服务器访问慢的 ssl 服务器使用 nginx 或 caddy 做网页服务器。 正文 1. OCSP概述 1.1 概念 OCSP:在线证书状态协议(Online Certificate Status Protocol),被用于检验证书合法性。 浏览器访
CDN中的OCSP Stapling是什么?有必要开启吗?
12-14 320
OCSP(Online Certificate Status Protocol)Stapling是一种用于提高SSL/TLS证书验证性能和安全性的机制。它通过将证书颁发机构(CA)的响应缓存在Web服务器上,从而避免了每次客户端发起连接时都要进行OCSP查询的开销。OCSP Stapling通过服务器自行获取和提供OCSP响应,避免了客户端每次连接都要发起OCSP查询的开销,并提高了验证的性能和安全性。
OCSP 在SSL证书中起什么作用
SSL加密技术
12-21 1095
SSL证书是数字证书的一种,形式上是一组密钥。在服务器上安装了SSL证书后,服务器与终端之间的数据都是通过此密钥进行加密后传输的,防止数据在传输的过程中被窃取、篡改。安装的SSL证书是有一定的生命周期的,并不是可以无限期的使用下去。一种是SSL证书自然过期后,将无法使用,需要再找CA机构签发新的证书;另一种是,因为某些特殊原因在SSL证书过期前,被 CA 机构吊销。但如何判断SSL证书是否在有效期内或是否被吊销呢?这时候 OCSP 就起到了至关重要的作用。 OCSP(Online Certificate
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3664
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
OCSP是什么
nzyzy的博客
03-15 6732
OCSP的定义 OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态。OCSP是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态,当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。 OCSP与CRL比较: 1)与CRL相比OC
CA机构的OCSP指的是什么
GDCA_TRUSTAUTH的博客
06-19 369
当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求,服务器回复一个“有效”、“过期”或“未知”的响应。与传统的证书撤销列表(CRL)相比,OCSP具有更快的响应时间和更精确的证书状态信息。此外,由于OCSP消息中信息内容更少,能减少网络的负担和客户端的资源,同时客户端提供的用于解析消息的库函数也更简单。它是维护服务器和其它网络资源安全性的两种普遍模式之一,用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态。
Wireshark无法抓取OCSP Stapling信息
Aix-马小勋的博客
07-15 475
不了解OCSP Stapling的请先阅读:什么是OCSP Stapling 想了解为什么OCSP Stapling可以对网络性能优化,降低TLS阶段耗时的请先阅读:CDN通过openresty库实现ocsp stapling,有效提升客户端回源效率 背景 近期在做APP端网络性能优化,为了降低TLS阶段耗时,决定开启OCSP Stapling功能。为了验证开启OCSP Stapling开关后,OCSP Stapling请求是否生效,需要借助Wireshark抓包工具进行抓包,查看对应的CDN pro
阿里云CDN推动企业网站HTTPS转型
此外,阿里云CDN提供了丰富的功能,如免费证书、云盾证书、自定义证书、HTTP/2支持、OCSP stapling、HSTS、关键服务器优化参数、TLS版本配置等,确保性能和安全性的平衡。 CDN-HTTPS业务流程包括证书管理,用户可以...
秒懂边缘云 | CDN基础入门:HTTPS配置
Maxineeez的博客
08-05 1513
本章节我们共同学习HTTPS相关功能及配置,如果您的业务有相关访问诉求,可以关注下文的实践指导内容。
HTTPS最佳实践-lancelotluo.zip
10-25
8. **OCSP Stapling**:在线证书状态协议(OCSP)查询可能导致延迟,OCSP Stapling则是服务器将最新的OCSP响应附加到证书中,减少延迟并减轻服务器负担。 9. **TLS版本选择**:应禁用较老的TLS版本,如TLS 1.0和...
CDN助力企业网站进入HTTPS时代.pptx
10-14
本篇将详细介绍如何利用阿里云CDN服务帮助企业网站顺利过渡到HTTPS时代。 **HTTPS是什么?** HTTPS是HTTP协议的安全版本,它结合了SSL/TLS协议,为数据传输提供加密处理,防止数据在传输过程中被窃取或篡改。HTTPS...
OCSP原理及实践
最新发布
辛勤搬砖的门卫的专栏
09-06 1016
OCSP机制原理及实践验证
ocsp协议_什么是在线证书状态协议(OCSP)和示例教程?
cunjiu9486的博客
10-06 4948
ocsp协议Certificates like SSL, X.509 are used to secure network traffic. But every certificate has its own life cycle in a distributed environmentlike the internet we should manage them. Online Certifi...
在线证书状态协议 (OCSP) 详解及其应用
weixin_37085861的博客
08-15 690
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
Https SSL证书 本地化OCSP地址是什么
hwssz的专栏
03-04 505
通过远程复现问题并抓包,我们发现在客户电脑上每次打开专用浏览器都先访问一个国外证书网站在继续请求,而访问国外证书的网站的不稳定性导致了无法正常打开网站。我们实际使用中发现2000左右的DV证书 证书授权信息地址是国外的,而5000左右的OV证书证书授权信息地址是国内的地址。大家可以看看访问网站的证书的详细信息中授权信息访问那一行,可以知道浏览器在校验这个证书时去访问的授权信息地址了。在给网站换上了阿里云的OV证书后,地区反馈访问网站已经正常了,这个访问白屏的问题解决了。
OSCP 在线https证书验证技术
pzqingchong的专栏
12-27 6233
OSCP 在线https证书验证技术
如何让HTTPS站点更加安全? 这篇HTTPS安全加固配置最佳实践指南就够了
WeiyiGeek 唯一极客IT知识分享
04-10 4042
[TOC] 前置知识推荐了解 HTTPS原理介绍以及证书签名的申请配置 ( https://blog.weiyigeek.top/2019/10-21-10.html ) SSL与TLS协议原理和证书签名生成实践指南 ( https://blog.weiyigeek.top/2019/10-21-12.html ) 原文链接 HTTPS安全优化配置最佳实践指南简述 ( https://blog.weiyigeek.top/2022/4-6-11.html ) 0x02 HTTPS安全加固指南 描述: 当你
HTTPS优化——协议优化,证书优化,话复用
weixin_52477733的博客
08-30 1119
客户端和服务器首次建立连接时生成的对称加密密钥被缓存到本地,并用一个唯一映射该密钥的Session ID来标识.这样在之后的连接中,客户端只需要发送自己的Session ID给服务器,就可以直接开始通信.为了安全,缓存中的对称加密密钥定期失效.玩游戏最快战胜对方的方式就是[充钱].软件都是在硬件上跑的,想要提高软件的效率,最直接的方法就是提高硬件的质量. 因为HTTPS是计算密集型,所以主要提升的硬件应该是CPU.客户端在验证服务器的身份证书时,为了验证证书是否被CA吊销,需要去访问CA,下载。...
「offer来了」浏览器原理被问懵?5大知识板块巩固你的http知识体系(3
2401_84254011的博客
04-27 839
HTTPS相对于HTTP协议,加入了TLS/SSL,它的全称为安全传输层协议,是介于TCP和HTTP之间的一层安全协议。TLS/SSL散列函数hash对称加密非对称加密。这三类算法的作用基于散列函数验证信息的完整性;对称加密算法采用协商的秘钥对数据加密;非对称加密实现身份认证和秘钥协商。浏览器自带的一种安全策略,它是指网址中的协议域名端口三个都相同时才能互相访问,即若协议、域名、端口有一个不相同时,浏览器禁止页面加载或执行与自身不同域的脚本。
什么是CDNCDNOCSP中的应用?
蔚可云的博客
06-23 237
CDN(Content Distribution Network),中文名称是“内容分发网络”。内容交付网络(CDN)是指一组在地理上分散的服务器,它们协同工作以提供互联网内容的快速交付。CDN能将你网站上的内容,缓存在不同地理位置的多个服务器上。通过最接近的服务器,将内容提供给你的站点访问者,从而加快网站访问速度。 CDN允许快速转移加载互联网内容所需的资产,包括HTML页面、javascript文件、样式表、图像和视频。CDN服务的受欢迎程度持续增长。正确配置的 CDN还可帮助保护网站免受某些常见的恶
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值