Https优化⽅案(优化证书验证篇--OCSP)
⼀句话概括就是:OCSP 是server 把⾃⼰的站点证书和中间证书以及根证书打包⼀起下发到客户端,省去客户端查询的过程。
OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的⽅案来解决:OCSP stapling是⼀种允许在TLS握⼿中包含吊销信息的协议功能,启⽤OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握⼿过程中返回给客户端。增加的握⼿信息⼤⼩在1KB以内,但省去了⽤户代理独⽴验证吊销状态的时间。
启⽤OCSP stapling的⽅式有很多种,⽐如在线校验。此⽅式需要⽀持服务器能够主动访问证书校验服务器才能⽣效,并且在每次重启nginx的时候会主动请求⼀次,如果⽹络不通会导致nginx启动缓慢。nginx ssl证书配置
# 启⽤OCSP stapling
ssl_stapling on;
# valid表⽰缓存5分钟,resolver_timeout表⽰⽹络超时时间
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;
# 启⽤OCSP响应验证,OCSP信息响应适⽤的证书
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_;
为了更可靠,你也可以⼈⼯负责更新⽂件内容,设定Nginx直接从⽂件获取OCSP响应⽽⽆需从服务商拉取。
# 启⽤OCSP stapling
ssl_stapling on;
ssl_stapling_file /usr/local/nginx/oscp/sp;
# 启⽤OCSP响应验证,OCSP信息响应适⽤的证书
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_;
nginx配置⽰例 *.conf⽂件
# OCSP Stapling
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
resolver 114.114.114.114 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;
ssl_trusted_certificate chain.pem;

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。