当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种:
在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。 ocsp比crl方式更加高效,但ocsp也存在一些问题,实时查询证书会给客户端带来一定性能影响,另一方面需要访问ca提供的第三方中心话验证服务器,如果这个第三方验证服务出现问题,或被攻击,将会导致ocsp验证失败。 这里我们推荐更先进的OCSP stapling。
正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。说白了,服务器代替客户端去进行OCSP查询,缓存查询结果,然后在与客户端进行TLS连接时返回给客户端。
CentOS/7.7.x NginX /1.12.x # 它从 1.3.7+ 开始支持OCSP stapling特性。
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/xxx.com/cert.pem;
ssl_certificate_key /etc/nginx/ssl/xxx.com/key.pem;
ssl_stapling on;
ssl_stapling_verify on;# 启用OCSP响应验证,OCSP信息响应适用的证书
ssl_trusted_certificate /path/to/xxx.pem;#选项应指向CA的根证书
resolver 8.8.8.8 8.8.4.4 216.146.35.35 216.146.36.36 valid=60s;#添加resolver解析OSCP响应服务器的主机名,valid表示缓存。
resolver_timeout 2s;# resolver_timeout表示网络超时时间
检查https网站是否开启OCSP stapling有两种方法: 1.SSL Labs https://www.ssllabs.com/sslte... 如果开启返回 OCSP stapling Yes 2.通过命令
openssl s_client -connect admin.xxx.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
开启结果为:
OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
http://nginx.org/en/docs/http... https://blog.sometimesnaive.o...