CDN中的OCSP Stapling是什么?需要开启吗?
作者:安语未
我们在使用CDN时,CDN后台都有一个OCSP Staplin的选项,一般在设置HTTPS里面,如下图位子:
那么这个OCSP Stapling是什么了,我们看看介绍。
OCSP Stapling简介
OCSP(Online Certificate Status Protocol)Stapling是一种用于提高SSL/TLS证书验证性能和安全性的机制。它通过将证书颁发机构(CA)的响应缓存在Web服务器上,从而避免了每次客户端发起连接时都要进行OCSP查询的开销。
OCSP Stapling通过服务器自行获取和提供OCSP响应,避免了客户端每次连接都要发起OCSP查询的开销,并提高了验证的性能和安全性。
推荐开启OCSP Stapling
OCSP Stapling在很大程度上解决网站设置HTTPS后访问速度变慢的问题。
在服务器上部署OCSP Stapling能极大地提高安全稳定性能、使网站访问速度更快,用户体验更好。
什么是OCSP Stapling
什么是OCSP Stapling
OCSP装订(OCSP Stapling),也称OCSP封套,是一个TLS证书状态查询扩展,作为在线证书状态协议的代替方法对X.509证书状态进行查询,目的是让证书使用者(例如浏览器)如何知道一个证书是否有效(证书颁发者有时候需要作废某些证书)。OCSP 响应本身经过了数字签名,无法伪造,所以 OCSP Stapling 技术既提高了握手效率,也不会影响安全性。
服务器在TLS握手时可以发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求.
为什么要开启 OCSP Stapling,这里再简单介绍下:
OCSP(Online Certificate Status Protocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时,实时查询 OCSP 接口,并在获得结果前阻塞后续流程。OCSP 查询本质是一次完整的 HTTP 请求 - 响应,这中间 DNS 查询、建立 TCP、服务端处理等环节都可能耗费很长时间,导致最终建立 TLS 连接时间变得更长。
而 OCSP Stapling(OCSP 封套),是指服务端主动获取 OCSP 查询结果并随着证书一起发送给客户端,从而让客户端跳过自己去验证的过程,提高 TLS 握手效率。
Nginx域名解析问题
翻阅Nginx错误日志,发现有大量域名无法解析的错误提示:
ocsp2.globalsign.com could not be resolved (2: Server failure) while
requesting certificate status, responder: ocsp2.globalsign.comocsp2.globalsign.com could not be resolved (110: Operation timed out)
while requesting certificate status, responder: ocsp2.globalsign.com
错误中导致的域名无法解析的原因有两个:“2: Server failure”和“110: Operation timed out”,Nginx中的相关配置如下:
resolver 10.143.22.116; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/holmesian.org.full; ssl_certificate /etc/nginx/holmesian.org.crt; ssl_certificate_key /etc/nginx/holmesian.org.key;
看上去应该没有问题,而且在Bash中可以ping通ocsp2.globalsign.com域名,且用openssl能够获取OCSP Response,在这里卡了一段时间,最后终于发现是IPv6导致的问题。在nginx配置中加上关掉resolver的IPv6解析指令即可解决问题。(待验证)
resolver 10.143.22.116:53 ipv6=off; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/holmesian.org.full; ssl_certificate /etc/nginx/holmesian.org.crt; ssl_certificate_key /etc/nginx/holmesian.org.key;
到此这篇关于CDN中的OCSP Stapling是什么?需要开启吗?的文章就介绍到这了,更多相关CDN OCSP Stapling内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!