1. 什么是OCSP stapling?
OCSP的全称是Online Certificate Status Protocol,即在线证书状态协议。顾名思义,它是一个用于检查证书状态的协议,浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看https://www.baidu.com的证书详情,可以看到OCSP的查询地址:
浏览器需要发送请求到这个地址来验证证书状态。
OCSP存在隐私和性能问题。一方面,浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构),会暴露网站的访客(Let’s Encrypt会知道哪些用户在访问Fundebug);另一方面,浏览器进行OCSP查询会降低HTTPS性能(如访问您的站点会变慢)。
为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。这样解决了隐私和性能问题。
2. Nginx的OCSP stapling完整配置如下:(此处省略了其他无关的配置选项)
http
{
resolver 127.0.0.1;
server
{
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate *.pem文件地址;
}
}
网友评论