CDN中的OCSP?Stapling是什么?需要開啟嗎？

更新時間：2024年01月07日 18:19:39 作者：安語未

最近使用CDN時,CDN后臺都有一個OCSP?Staplin的選項,一般在設置HTTPS里面,不知道什么意思,這里簡單為大家分享一下

OCSP Stapling簡介

OCSP（Online Certificate Status Protocol）Stapling是一種用于提高SSL/TLS證書驗證性能和安全性的機制。它通過將證書頒發(fā)機構（CA）的響應緩存在Web服務器上，從而避免了每次客戶端發(fā)起連接時都要進行OCSP查詢的開銷。

OCSP Stapling通過服務器自行獲取和提供OCSP響應，避免了客戶端每次連接都要發(fā)起OCSP查詢的開銷，并提高了驗證的性能和安全性。

CDN中的OCSP Stapling是什么?有必要開啟嗎？

什么是OCSP Stapling

什么是OCSP Stapling
OCSP裝訂（OCSP Stapling），也稱OCSP封套，是一個TLS證書狀態(tài)查詢擴展，作為在線證書狀態(tài)協(xié)議的代替方法對X.509證書狀態(tài)進行查詢，目的是讓證書使用者（例如瀏覽器）如何知道一個證書是否有效（證書頒發(fā)者有時候需要作廢某些證書）。OCSP 響應本身經(jīng)過了數(shù)字簽名，無法偽造，所以 OCSP Stapling 技術既提高了握手效率，也不會影響安全性。

服務器在TLS握手時可以發(fā)送事先緩存的OCSP響應，用戶只需驗證該響應的有效性而不用再向數(shù)字證書認證機構（CA）發(fā)送請求.

為什么要開啟 OCSP Stapling，這里再簡單介紹下：

OCSP（Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議）是用來檢驗證書合法性的在線查詢服務，一般由證書所屬 CA 提供。某些客戶端會在 TLS 握手階段進一步協(xié)商時，實時查詢 OCSP 接口，并在獲得結果前阻塞后續(xù)流程。OCSP 查詢本質(zhì)是一次完整的 HTTP 請求 - 響應，這中間 DNS 查詢、建立 TCP、服務端處理等環(huán)節(jié)都可能耗費很長時間，導致最終建立 TLS 連接時間變得更長。

而 OCSP Stapling（OCSP 封套），是指服務端主動獲取 OCSP 查詢結果并隨著證書一起發(fā)送給客戶端，從而讓客戶端跳過自己去驗證的過程，提高 TLS 握手效率。

Nginx域名解析問題

翻閱Nginx錯誤日志，發(fā)現(xiàn)有大量域名無法解析的錯誤提示：

ocsp2.globalsign.com could not be resolved (2: Server failure) while
requesting certificate status, responder: ocsp2.globalsign.com

ocsp2.globalsign.com could not be resolved (110: Operation timed out)
while requesting certificate status, responder: ocsp2.globalsign.com

錯誤中導致的域名無法解析的原因有兩個：“2: Server failure”和“110: Operation timed out”，Nginx中的相關配置如下：

    resolver 10.143.22.116;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

看上去應該沒有問題，而且在Bash中可以ping通ocsp2.globalsign.com域名，且用openssl能夠獲取OCSP Response，在這里卡了一段時間，最后終于發(fā)現(xiàn)是IPv6導致的問題。在nginx配置中加上關掉resolver的IPv6解析指令即可解決問題。(待驗證)

    resolver 10.143.22.116:53 ipv6=off;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

到此這篇關于CDN中的OCSP Stapling是什么?需要開啟嗎？的文章就介紹到這了,更多相關CDN OCSP Stapling內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！