开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在客户端同时处理传统的OCSP和OCSP装订

在客户端同时处理传统的OCSP和OCSP装订，可以通过以下步骤实现：

理解OCSP和OCSP装订的概念：
- OCSP（Online Certificate Status Protocol）是一种用于验证数字证书有效性的协议，通过向证书颁发机构（CA）的OCSP服务器发送请求，获取证书的状态信息。
- OCSP装订（OCSP stapling）是一种优化的OCSP验证方式，服务器在握手阶段将自己的证书和对应的OCSP响应一起发送给客户端，避免了客户端单独向CA服务器请求OCSP响应的过程。
实现客户端同时处理传统的OCSP和OCSP装订的步骤： a. 客户端发起TLS握手请求，与服务器建立安全连接。 b. 客户端接收到服务器返回的证书，并提取其中的OCSP响应。 c. 客户端首先使用传统的OCSP验证方式，向证书颁发机构的OCSP服务器发送请求，获取证书的状态信息。 d. 客户端同时验证服务器返回的OCSP响应是否与传统OCSP请求中获取的状态信息一致，确保证书的有效性。 e. 如果服务器支持OCSP装订，客户端使用服务器返回的OCSP响应进行验证，避免了单独向CA服务器请求OCSP响应的过程。 f. 客户端完成证书验证后，继续进行后续的通信。
推荐的腾讯云相关产品和产品介绍链接地址：
- 腾讯云SSL证书：提供了多种类型的SSL证书，包括DV、OV和EV证书，可用于保护网站和应用程序的安全通信。链接：https://cloud.tencent.com/product/ssl-certificate
- 腾讯云内容分发网络（CDN）：通过在全球部署节点，加速内容传输，提供更快的访问速度和更好的用户体验。链接：https://cloud.tencent.com/product/cdn

请注意，以上答案仅供参考，具体实现方式可能因系统环境、技术要求等因素而有所不同。

相关搜索:如何在Angular 4中处理重复的HTML代码，如页眉和页脚？如何在AWK中处理不同的行尾，如行尾为CRLF (\r\n)和行尾为LF (\n)或CR (\r 如何在C#或Java中读取握手过程中的ocsp装订响应如何在JavasScript和/或JQuery中对同时滑动和淡入淡出的文本进行动画处理？如何在PHP中使用JSON同时处理单个项和同一属性的数组？如何在一个应用程序中同时处理基于表单的身份验证和基于(Jwt)令牌的身份验证如何在保留文件名和内容的同时处理多个txt文件？如何在可伸缩、高并发和容错的系统中逐个处理来自同一客户端的多个API调用如何在同时发出的两个事件流中进行划分和处理？如何在直方图中同时拆分和堆叠条形图，只对较低的条形图进行阴影处理？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

个人博客网站页面优化，开启OCSP装订（OCSP Stapling）

另一种更老的方法是证书注销列表（CRL）已经被在线证书状态协议取代了很多年了。　　简介在线证书状态协议（OCSP）克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。...当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。...OCSP装订这种攻击促使CA和浏览器供应商引入SSL证书的扩展，该扩展在 RFC 7633，俗称 OCSP 必须装订（尽管RFC本身没有提及此名称，这可能会引起一些混淆。）...在服务器中启用OCSP装订为了节省您查找的麻烦，以下各节包含有关如何在您的计算机中启用OCSP装订的说明。...大量的组件自然会增加延迟并导致延迟，这意味着企业需要找到在不影响用户体验的情况下提高安全性的方法。启用OCSP装订将为您提供提更高的安全性和提高网站的性能。

1.1K3 0

Lets Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

；但是有些浏览器，比如苹果的Safari和IE就强制开启了OCSP验证，Firefox的OCSP验证可以在选项中关闭；由于Let's Encrypt证书的OCSP验证域名被DNS污染，无法进行验证，所以就出现了首次访问会很慢的原因...，避免了浏览器去进行OCSP验证从而影响访问速度；但是OCSP响应的缓存并不是预加载的，而是异步加载的；在Nginx启动后，只有当有客户端访问的时候，Nginx才开始去请求OCSP响应并缓存到本地，...并且当OCSP响应缓存过期的时候并不会去主动更新，而是等待客户端访问异步触发的更新；这样就会导致总会有几次访问并没有走OCSP响应缓存从而导致还是会有访问速度缓慢的情况发生。...如果要获取指定证书文件的OCSP响应，则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 chmod +x getOCSP.sh....2>&1 这样crontab定时任务就配置完成，至此我们的Nginx OCSP装订工作就到此完成~

2.5K4 1

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

2）OCSP预装订为了解决OCSP弊端，OCSP可以装订在Web服务器上，此时客户端直接向Web服务器发送OCSP Request，再由Web服务器统一去请求证书机构的OCSP服务器，并将结果缓存下来。...装订前：每台客户端第一次请求TLS证书时，都会先向CA证书颁发机构发送OCSP Request。...装订后：客户端发送OCSP Request给Web服务端，由Web服务端向CA证书颁发机构发送OCSP查询请求，再响应给客户端，并将结果缓存下来。...3）检测OCSP装订状态--ocsp可直接检测对端是否支持OCSP装订：sslscan --ocsp如果不支持则会明确显示：No OCSP response received.同时，myssl.com也支持在线检测...Indication）是TLS协议的一个扩展，在TLS握手时用来标记客户端的关键信息，它改变了TLS协议在握手阶段只能协商一个服务器名的限制，使得在一个IP地址和端口上可以同时支持多个域名或多个SSL证书

CDN开启OCSP Stapling功能为何不生效？

那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢，通常有两种方式：CRL（Certificate Revocation List，证书吊销列表）和 OCSP（Online Certificate...2、OCSP OCSP 是一个在线证书查询接口，它建立一个可实时响应的机制，让浏览器可以实时查询每一张证书的有效性，解决了 CRL 的实时性问题，但是 OCSP 也引入了一个性能问题，某些客户端会在 SSL...另外服务器有更好的网络，能更快地获取到 OCSP 结果，同时也可以将结果缓存起来，极大的提高了性能、效率和用户体验。...问题描述：域名开启OCSP Stapling，但测试未生效原因分析：在分析原因前，可以通过如下图了解下CDN OCSP的工作原理 image.png 1、查看域名配置，确实有开启OCSP装订配置...如域名h5.abc139.cn，OCSP功能验证正常。

3.7K29 0

Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

别急，开启之前我们是不是得先知道如何查询是否开启了OCSP装订，自：新消息频道不然捣鼓半天都不知道开启成功了没有可还行.....stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： # 开启 OCSP Stapling，开启后服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构...装订是不是就已经开启了。...使用myssl验证，也提示OCSP已装订 17.png Firefox、IE、Safari浏览器的访问也正常了 18.png 再次使用Charles进行抓包，发现浏览器会跳过OCSP验证 19.png...之后我会在写一下关于开启OCSP的弊端和优化方案。完结以上就是Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢的内容，欢迎小伙伴们交流讨论。

2.2K4 0

HTTPS 基本原理和配置 - 2

NGINX 作为客户端将使用 proxy_ssl_protocols 和 proxy_ssl_cipher 指令。...在本例中，它被设置为6个月(这是预加载列表所需的最低时间)。你还可以在这里添加其他指令，如:includeSubdomains和preload，这意味着可以接受这个指令并将其添加到预加载列表中。...这就是得到 A+ 的方法。五、又一加分项：配置 OCSP 装订（OCSP Stapling）这是一些人喜欢使用的另一个附加功能，它实际上可以帮助加快连接速度。...因此，OCSP 装订允许服务器获取证书未过期的证明。在后台，获取这个表示「是的，证书是好的」的 OCSP 响应，然后将它放入握手中。这样客户端就不需要实际接触 CA 并获取它。 5.2 会快多少？...总结以上就是配置 NGINX 和 OCSP 装订、HSTS 和 SSL 代理的方法。正如我提到的，在2008年， TLS v1.2 是最新和最好的。近期，他们推出了新版本，TLS v1.3。

7063 0

抓包定位业务首次响应为什么需要等待几十秒

2 客户端网络：包含移动，联通，电信4G和WIFI场景下均有问题。 3 客户端：只有IOS/MACOS系统会有问题，安卓/Windows系统没有出现。...2.2 用户的业务架构梳理 [2.2.png] 序号名称内容 1 客户设备苹果手机IOS和苹果电脑MACOS 2 客户网络移动网络4G和固网wifi(联通，电信，移动) 3 负载均衡 客户端访问负载均衡为...3.1.1 上述厂商的CA OCSP Server ，基于地域的不同部署了多套，中国大陆和海外同时部署，可以规避中国大陆无法访问的问题。...3.3 解决方案如5.1.3 OCSP Stapling *** 5.1.3 OCSP Stapling OCSP装订，是TLS证书状态查询扩展，作为在线证书状态协议的替代方法对X.509证书状态进行查询...同时不管浏览器如何选择，都不能满足广大域名用户的需求，那么不如把这个选择交给域名用户自己。因此OCSP Must-Staple应然而生了，浏览器必须检测OCSP响应。

5.5K13 3

Nginx开启OCSP的弊端以及优化方案

摘要前面有写利用《Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢》的问题，这篇文章总结和优化一下一些会出现的问题。...正文一、弊端此方式实现了OCSP查询在服务器端进行，避免了浏览器去进行OCSP验证从而影响访问速度；但是OCSP响应的缓存并不是预加载的，而是异步加载的；在Nginx启动后，只有当有客户端访问的时候...，Nginx才开始去请求OCSP响应并缓存到本地，并且当OCSP响应缓存过期的时候并不会去主动更新，而是等待客户端访问异步触发的更新；这样就会导致总会有几次访问并没有走OCSP响应缓存从而导致还是会有访问速度缓慢的情况发生...如果要获取指定证书文件的OCSP响应，则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 ....定时任务就配置完成至此我们的Nginx OCSP装订工作就到此完成~ 完结以上就是Nginx开启OCSP的弊端以及优化方案的内容，欢迎小伙伴们交流讨论。

3K3 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

ssl_client_certificate 如果启用了 ssl_stapling，则指定一个带有 PEM 格式的可信 CA 证书的文件，用于验证客户端证书和 OCSP 响应。...ssl_ocsp_cache 为 OCSP 验证设置存储客户端证书状态的缓存的名称和大小。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ，要使 OCSP 装订工作，应该知道服务器证书颁发者的证书。...对于 OCSP 响应程序主机名的解析，还应指定解析器指令。 ssl_stapling_file 设置后，将从指定文件中获取装订的 OCSP 响应，而不是查询服务器证书中指定的 OCSP 响应者。...ssl_trusted_certificate 如果启用了 ssl_stapling，则指定一个带有 PEM 格式的可信 CA 证书的文件，用于验证客户端证书和 OCSP 响应。

9162 0

如何将 Discuz! Q 站点接入腾讯云 CDN ，加速站点访问

您可以通过添加线路类型为默认、记录值为1.com 和线路类型为联通、记录值为 2.com 的两条 CNAME 记录来实现。记录值：在 CDN 控制台获取的CNAME 记录值。...HTTPS 配置在【HTTPS 配置】页签中，配置以下信息：配置证书可以提供对网络服务器的身份认证 HTTPS，保护交换数据的隐私和完整性。...可提交网络传输的安全性。如下图所示：开启 OCSP 装订配置。...启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。...OCSP 装订极大地提高了 TLS 握手效率，节省了用户验证时间。如下图所示： TIP 若您还需其他优化需求，您可参见 CDN 产品文档配置指南 (opens new window)进行配置。

6.3K3 0

真正“搞”懂HTTPS协议19之HTTPS优化

但是除了TLS握手的消耗外，其实还有一些隐形的损耗，比如：产生用于密钥交换的临时公私钥对（ECDHE）；验证证书时访问 CA 获取 CRL 或者 OCSP；非对称加密解密处理“Pre-Master...客户端的证书验证其实是个很复杂的操作，除了要公钥解密验证多个证书签名外，因为证书还有可能会被撤销失效，客户端有时还会再去访问 CA，下载 CRL 或者 OCSP 数据，这又会产生 DNS 查询、建立连接...于是又出来了一个“补丁”，叫“OCSP Stapling”（OCSP 装订），它可以让服务器预先访问 CA 获取 OCSP 响应，然后在握手时随着证书一起发给客户端，免去了客户端连接 CA 服务器查询的时间...会话复用分两种，第一种叫“Session ID”，就是客户端和服务器首次连接后各自保存一个会话的 ID 号，内存里存储主密钥和其他相关的信息。...Ticket”差不多，但在发送 Ticket 的同时会带上应用数据（Early Data），免去了 1.2 里的服务器确认步骤，这种方式叫“Pre-shared Key”，简称为“PSK”。

3912 0

用好CDN

腾讯云 COS 使所有用户都能使用具备高扩展性、低成本、可靠和安全的数据存储服务。CDN+COS是一种文件存储和分发的高优方案。 Step4....•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求 - 响应，这中间 DNS 查询、建立 TCP、服务端处理等环节都可能耗费很长时间，导致最终建立 TLS 连接时间变得更长。...这里难点是域名的权威解析服务器具备分线路解析功能。具备多线路解析功能的好处还有，你可以同时使用多家CDN厂商来服务，按地区分配流量，某一家故障时，可切到其他CDN进行快速恢复。

10.8K5 1

EMQX Enterprise 4.4.11 发布：CRLOCSP Stapling、Google Cloud PubSub 集成、预定义 API 密钥

CRL 与 OCSP Stapling此前版本中，通过 EMQX 内置的 SSL/TLS 支持，您可以使用 X.509 证书实现客户端接入认证与通信安全加密，本次发布的版本在此基础上新增了 CRL 与...OCSP Stapling 是该项技术的最新改进，进一步解决了 OCSP 隐私问题和性能问题。...启用 OCSP Stapling 后，EMQX 将自行从 OCSP 服务器查询证书并缓存响应结果，当客户端向 EMQX 发起 SSL 握手请求时，EMQX 将证书的 OCSP 信息随证书链一同发送给客户端...图片通过 CRL 与 OCSP Stapling 功能，您可以控制每一张证书的有效性，及时吊销非法客户端证书，为您的物联网应用提供灵活且高级别的安全保障。.../Sub 以及 Dataflow 和 BigQuery 为基础而构建整体解决方案，实时提取、处理和分析源源不断的 MQTT 数据，基于物联网数据发掘更多业务价值。

2.1K3 0

关于接入CDN的一些实用策略

如果是大文件和点播类型，建议打开分片回源，静态小文件就没有必要，分片回源可大大提高大文件的命中率和分发效果。...•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求 - 响应，这中间 DNS 查询、建立 TCP、服务端处理等环节都可能耗费很长时间，导致最终建立 TLS 连接时间变得更长。...这里难点是域名的权威解析服务器具备分线路解析功能。具备多线路解析功能的好处还有，你可以同时使用多家CDN厂商来服务，按地区分配流量，某一家故障时，可切到其他CDN进行快速恢复。

2.1K14 4

你并不在意的 HTTPS 证书吊销机制，或许会给你造成灾难性安全问题！

包含使用SSL版本、服务器和客户端的随机数、密码套件、数据压缩等参数响应。2.第二阶段，服务端把域名证书的公钥下发给浏览器（客户端），浏览器（客户端）校验证书合法性。...3.第三阶段，客户端把自己的证书发送给服务端（证书登陆的情况下），服务端检测客户端证书等。4.第四阶段，完成密钥协商、对称加密密钥交换。...为了增加安全性，PKI在实现时，多数都验证了发型方的密钥、签名等信息是否跟当前证书的密钥相同。但对于信任链来说，根证书自己签发的，也就是说它们的issuer和subject是一样的。...同样的，X.509 v3证书的OCSP信息也是存储在拓展信息中，如alipay.com证书那张图的绿色框内部分。...同时，不管浏览器如何选择，都不能满足广大域名用户的需求，那么不如把这个选择交给域名用户自己。为此，OCSP Must-Staple应运而生了，浏览器必须检测OCSP响应。

2.4K2 0

90%的人都不懂的TLS握手优化

HTTPS 在 TCP 和 HTTP 之间增加了 TLS（Transport Layer Security，传输层安全），提供了内容加密、身份认证和数据完整性三大功能，同时也给 Web 性能优化带来新的挑战...可以看到，假设服务端和客户端之间单次传输耗时 28ms，那么客户端需要等到 168ms 之后才能开始发送 HTTP 请求报文，这还没把客户端和服务端处理时间算进去。...TLS False Start 是指客户端在发送 Change Cipher Spec Finished 同时发送应用数据（如 HTTP 请求），服务端在 TLS 握手完成时直接返回应用数据（如 HTTP...OCSP 是一个在线查询接口，浏览器可以实时查询单个证书的合法性。在每个证书的详细信息中，都可以找到对应颁发机构的 CRL 和 OCSP 地址。...OCSP Stapling 功能需要 Web Server 的支持，主流的 Nginx、Apache 和 H2O 都支持 —— 但同时还取决于使用的 SSL 库 —— 例如 BoringSSL 不支持

5.4K2 0

密码学系列之:在线证书状态协议OCSP详解

它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。 PKI中的CRL 我们知道在PKI架构中，CA证书是非常重要的组件，客户端通过CA证书来验证服务的可靠性。...CRL中证书的状态有两种，第一种就是证书已经被撤销了，比如证书的颁发机构CA发现之前的颁布的证书是错误的，或者因为其他的原因如私钥泄露导致原来的证书不够安全，需要将证书撤回。...OCSP responder在接收到OCSP的请求之后，会去校验OCSP消息的有效性，如果消息有问题则会返回异常,否则的话会根据请求的服务进行处理。...OCSP响应对于OCSP的响应来说，根据传输协议的不同它的结构也是不同的。但是所有的响应都应该包含responseStatus字段表示请求的处理状态。...这些OCSP证书会在客户端和web端建立SSL 握手的时候就包含在OCSP响应中。这样客户端不需要单独和CA建立额外的连接，从而提高了性能。 OCSP stapling需要在服务器端主动开启。

3.6K2 1

https原理及实践

证书用于验证客户端证书如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。...启用或禁用服务器对OCSP响应的装订。例： ssl_stapling on; resolver 192.0.2.1; 要使OCSP装订工作，应该知道服务器证书颁发者的证书。...设置时，装订好的OCSP响应将取自指定的地址，file而不是查询服务器证书中指定的OCSP响应者。该文件应该是由“openssl ocsp”命令产生的DER格式。...如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。...重定向发生后，该请求被完全解析和变量，如$request_uri， $uri，$args等人，都可用。

1.4K9 0

玩转腾讯云CDN

若资源已存储在第三方对象存储中，请输入有效的存储桶访问地址作为源站，当前支持的第三方为：AWS S3 和阿里云 OSS。 2....OCSP装订 OCSP用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求会导致请求增长；启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，...针对一些签发的比较低端或者免费的证书（比如：Let's Encrypt），当证书分配的ocsp地址是海外，没有在大陆加速的情况，可以大大缓解apple系统访问失败的情况。...多路复用很好的解决了浏览器限制同一个域名下的请求数量的问题，同时也接更容易实现全速传输，毕竟新开一个 TCP 连接都需要慢慢提升传输速度。缺点：一般来说同一域名下只需要使用一个 TCP 连接。

10.7K18 0

CoAP协议学习笔记 3.2 CoAP协议翻译 DTLS加密

在实践中，DTLS是在TLS基础上，还对UDP传输不可靠特性进行额外的处理。...DTLS不适用于组密钥（多播通信）;但是，它可能是未来组密钥管理协议中的组件。 9.1.1 消息层 Messaging Layer 充当CoAP客户端的端点也应该充当DTLS客户端。...在相同的DTLS会话和同一个时间段内发送并具有相同的消息ID时，认为消息是相同的。...注意：当 Confirmable 消息重传的时候，每次尝试需要使用新的 DTLS 序列号，即使 CoAP Message ID 保持一致。因此接收端要做下去重处理。...“OCSP装订”）或优选多证书状态扩展（[RFC6961]）（如果可用）。

1.5K2 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭