开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Thawte证书的OCSP装订不起作用

是指Thawte证书的在线证书状态协议（OCSP）无法正常工作。OCSP是一种用于验证数字证书有效性的协议，它通过查询证书颁发机构（CA）的服务器来获取证书的状态信息，以确保证书的合法性和有效性。

Thawte是一家全球领先的数字证书颁发机构，提供各种类型的SSL证书，用于保护网站和应用程序的安全通信。然而，如果Thawte证书的OCSP装订不起作用，可能会导致无法及时验证证书的状态，从而影响到网站或应用程序的安全性。

解决Thawte证书的OCSP装订不起作用的方法包括：

检查网络连接：首先，确保服务器能够正常连接到Thawte的OCSP服务器。检查网络设置、防火墙配置等，确保没有阻止OCSP查询的限制。
更新证书链：如果Thawte证书的根证书或中间证书已过期或不正确，可能会导致OCSP装订不起作用。确保使用最新的证书链，可以从Thawte官方网站下载最新的根证书和中间证书。
检查OCSP服务器状态：Thawte的OCSP服务器可能会出现故障或维护，导致无法正常工作。可以通过Thawte的支持渠道或官方网站查询OCSP服务器的状态，以确定是否存在服务器问题。
使用备用验证方法：如果Thawte证书的OCSP装订不起作用，可以考虑使用其他验证方法，如证书撤销列表（CRL）或在线验证服务（例如Certly）来验证证书的状态。

总结起来，Thawte证书的OCSP装订不起作用可能是由网络连接问题、证书链问题、OCSP服务器问题等原因引起的。解决方法包括检查网络连接、更新证书链、检查OCSP服务器状态和使用备用验证方法。对于Thawte证书的应用场景，可以用于保护网站、电子商务平台、移动应用程序等的安全通信。推荐的腾讯云相关产品是SSL证书，腾讯云SSL证书是一种基于国际标准的数字证书，提供全面的安全保护和加密通信，详情请参考腾讯云SSL证书产品介绍：https://cloud.tencent.com/product/ssl

相关搜索:NodeJS和express上来自GoDaddy的SSL证书不起作用 Selenium为什么为firefox驱动程序将接受的可信任证书设置为true不起作用？使用VBScript提取证书元数据的Java keytool命令的自动化不起作用如何在C#或Java中读取握手过程中的ocsp装订响应如何在客户端同时处理传统的OCSP和OCSP装订如何处理Selenium python中弹出的证书操作系统？我试过pyAutoGUI，但它不起作用火狐中的ASP.NET核心自签名证书不起作用 class无法加载 connetion 磁盘驱动磁盘映射

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

个人博客网站页面优化，开启OCSP装订（OCSP Stapling）

另一种更老的方法是证书注销列表（CRL）已经被在线证书状态协议取代了很多年了。　　简介在线证书状态协议（OCSP）克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。...OCSP装订这种攻击促使CA和浏览器供应商引入SSL证书的扩展，该扩展在 RFC 7633，俗称 OCSP 必须装订（尽管RFC本身没有提及此名称，这可能会引起一些混淆。）...这只是要求对证书进行OCSP装订。如果浏览器遇到带有此扩展名的证书而未使用OCSP装订，则将被拒绝。...在服务器中启用OCSP装订为了节省您查找的麻烦，以下各节包含有关如何在您的计算机中启用OCSP装订的说明。...装订配置进行开启或关闭操作，如图：注意：删除证书配置后，OCSP 装订配置会同步失效：不仅仅是腾讯云CDN各大服务商都可以设置，只要开启了HTTPS就最好把ocsp装订功能开启。

1.1K3 0

Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

证书，其特点是免费、支持泛域名、并且脚本一键部署，但是Let's Encrypt证书的OCSP验证域名被DNS污染，无法解析到正确的IP地址，导致无法进行证书有效性验证。...stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： # 开启 OCSP Stapling，开启后服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构...（CA）发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书，我的Let's Encrypt...使用myssl验证，也提示OCSP已装订 17.png Firefox、IE、Safari浏览器的访问也正常了 18.png 再次使用Charles进行抓包，发现浏览器会跳过OCSP验证 19.png...之后我会在写一下关于开启OCSP的弊端和优化方案。完结以上就是Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢的内容，欢迎小伙伴们交流讨论。

2.2K4 0

Lets Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

说白了就是查询你的SSL证书是不是被提供商吊销了，正常访问一个网站时，浏览器要先去使用OCSP协议去查询你的证书是否有效，如果有效才进行接下来的操作；可全球这么多网站，都去验证的话OCSP服务器也扛不住...，也不用去等，多好这时候就需要Nginx的OCSP装订功能了由网站服务器去进行OCSP查询，缓存查询结果，然后在与浏览器进行TLS连接时返回给浏览器，这样浏览器就不需要再去查询了。...使用myssl验证，也提示OCSP已装订 Firefox、IE、Safari浏览器的访问也正常了再次使用Charles进行抓包，发现浏览器会跳过OCSP验证此方式实现了OCSP查询在服务器端进行...如果要获取指定证书文件的OCSP响应，则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 chmod +x getOCSP.sh....2>&1 这样crontab定时任务就配置完成，至此我们的Nginx OCSP装订工作就到此完成~

2.5K4 1

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

2）OCSP预装订为了解决OCSP弊端，OCSP可以装订在Web服务器上，此时客户端直接向Web服务器发送OCSP Request，再由Web服务器统一去请求证书机构的OCSP服务器，并将结果缓存下来。...装订前：每台客户端第一次请求TLS证书时，都会先向CA证书颁发机构发送OCSP Request。...装订后：客户端发送OCSP Request给Web服务端，由Web服务端向CA证书颁发机构发送OCSP查询请求，再响应给客户端，并将结果缓存下来。...3）检测OCSP装订状态--ocsp可直接检测对端是否支持OCSP装订：sslscan --ocsp如果不支持则会明确显示：No OCSP response received.同时，myssl.com也支持在线检测...：顺便说下，Nginx可以在配置文件中启用OCSP装订，增加以下两行配置：ssl_stapling on;ssl_stapling_verify on;4）检测证书颁发机构的OCSP/CRL服务器这项功能其实属于下面要讲的参数

HTTPS 基本原理和配置 - 2

这就是得到 A+ 的方法。五、又一加分项：配置 OCSP 装订（OCSP Stapling）这是一些人喜欢使用的另一个附加功能，它实际上可以帮助加快连接速度。...有几种机制可以告诉浏览器证书已被吊销; 它们都有点粗略，但最流行的是 OCSP(Online Certificate Status Protocol，在线证书状态协议)。...因此，OCSP 装订允许服务器获取证书未过期的证明。在后台，获取这个表示「是的，证书是好的」的 OCSP 响应，然后将它放入握手中。这样客户端就不需要实际接触 CA 并获取它。 5.2 会快多少？...装订验证（Stapling verify）是指在装订证书之后对其进行验证。正如我前面（2.2 受信任的 CA 的选项）提到的，使用代理，你必须信任 CA。...你可以从 CA 获得一个文件，并通过可信证书部分添加到该文件中。总结以上就是配置 NGINX 和 OCSP 装订、HSTS 和 SSL 代理的方法。

7183 0

如何查询SSL证书的OCSP服务器IP地址

不同CA签发的SSL证书的OCSP验签速度有所不同，这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度，首先需要知道如何查询OCSP服务器IP地址。1....以racent.com为例，输入域名，打开网站，点击地址栏的安全锁标识。图片2. 在弹窗中点击连接是安全的。图片3. 在弹出的菜单中，点击证书有效菜单，进入证书信息详情的弹窗。图片4....查看“授权中心信息访问权限”即可获取OCSP的服务器。菜单路径：详细信息->证书字段->授权中心信息访问权限->OCSP响应程序，即可查看到OCSP的URL。图片5....运行->cmd，ping出该URL即可获取到该OCSP服务器IP地址。图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。...其他证书均可参照上述步骤查询OCSP服务器IP地址。

5.3K4 0

CDN开启OCSP Stapling功能为何不生效？

背景：对于一个可信任的 CA 机构颁发的有效证书，在证书到期之前，只要 CA 没有将其吊销，那么这个证书就是有效可信任的。...那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢，通常有两种方式：CRL（Certificate Revocation List，证书吊销列表）和 OCSP（Online Certificate...2、OCSP OCSP 是一个在线证书查询接口，它建立一个可实时响应的机制，让浏览器可以实时查询每一张证书的有效性，解决了 CRL 的实时性问题，但是 OCSP 也引入了一个性能问题，某些客户端会在 SSL...（OCSP 地址也在证书的详细信息中） OCSP Stapling 就是为了解决 OCSP 性能问题而生的，其原理是：在 SSL 握手时，服务器去证书 CA 查询 OCSP 接口，并将 OCSP 查询结果通过...问题描述：域名开启OCSP Stapling，但测试未生效原因分析：在分析原因前，可以通过如下图了解下CDN OCSP的工作原理 image.png 1、查看域名配置，确实有开启OCSP装订配置

3.7K29 0

如何将 Discuz! Q 站点接入腾讯云 CDN ，加速站点访问

HTTPS 配置在【HTTPS 配置】页签中，配置以下信息：配置证书可以提供对网络服务器的身份认证 HTTPS，保护交换数据的隐私和完整性。...如下图所示：完成证书配置后，开启 HTTP 2.0 配置，HTTP2.0 作为最新的 HTTP 协议，大幅提升了 Web 性能，进一步减少了网络延迟。...可提交网络传输的安全性。如下图所示：开启 OCSP 装订配置。...启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。...OCSP 装订极大地提高了 TLS 握手效率，节省了用户验证时间。如下图所示： TIP 若您还需其他优化需求，您可参见 CDN 产品文档配置指南 (opens new window)进行配置。

6.3K3 0

Nginx开启OCSP的弊端以及优化方案

摘要前面有写利用《Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢》的问题，这篇文章总结和优化一下一些会出现的问题。...指令直接读取本地响应信息，这样就不会去实时查询证书的OCSP服务器，在进行SSL握手的时候直接将本地的响应信息进行下发，极大的加快了访问速度。...开始优化 1.更改服务器DNS解析服务器由于Let's Encrypt证书DNS解析被污染，在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的，解决访问有两个一：我们更改服务器的...如果要获取指定证书文件的OCSP响应，则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 ....定时任务就配置完成至此我们的Nginx OCSP装订工作就到此完成~ 完结以上就是Nginx开启OCSP的弊端以及优化方案的内容，欢迎小伙伴们交流讨论。

3K3 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

ssl_ocsp 启用客户端证书链的 OCSP 验证。 ssl_ocsp on | off | leaf; 默认值是 off ，leaf 参数仅启用客户端证书的验证。...ssl_ocsp_cache 为 OCSP 验证设置存储客户端证书状态的缓存的名称和大小。...ssl_ocsp_responder 覆盖“授权信息访问”证书扩展中指定的 OCSP 响应者的 URL，以验证客户端证书。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ，要使 OCSP 装订工作，应该知道服务器证书颁发者的证书。...对于 OCSP 响应程序主机名的解析，还应指定解析器指令。 ssl_stapling_file 设置后，将从指定文件中获取装订的 OCSP 响应，而不是查询服务器证书中指定的 OCSP 响应者。

9262 0

抓包定位业务首次响应为什么需要等待几十秒

用 myssl.com 网站检测你的域名，获取证书OCSP域名，检测前确定你的网站已经完成HTTPS部署。...5 证书吊销状态检测方式 5.1 证书吊销状态常规检测方式 CRL & OCSP 5.1.1 CRL CRL(Certificate revocation list 证书吊销列表)是一个已经被吊销的数字证书的名单...服务器（也称为OCSP Response Server）请求证书的撤销状态，OCSP Server予以响应。...2 在浏览器发送服务器HTTPS证书序号到OCSP Server时使用HTTP协议，将暴露用户的隐私，存在一定的安全性。...3.3 解决方案如5.1.3 OCSP Stapling *** 5.1.3 OCSP Stapling OCSP装订，是TLS证书状态查询扩展，作为在线证书状态协议的替代方法对X.509证书状态进行查询

5.5K13 3

腾讯云 COS + CDN 产品使用分享

加速域名」，然后针对 CDN 具体的设置项再去 CDN 的控制台进行设置比如下图一二和三，分别是「CDN 网页小文件」和「CDN 音视频点播」两种不同加速类型的源站的配置项图片图片图片0x02.CDN...网页小文件首先介绍下自己的博客托管源，使用的 serverless 关于对象存储的能力，没错，文件就是放在了 COS 上的注意配置的域名是「静态网站域名」而不是「存储桶域名」，这两种不同的类型会影响到最终浏览器访问的结果图片...配置使用托管证书，开启 HTTP 2.0，强制 301 跳转 HTTP → HTTPS，TLS 允许 v1.0~1.3，开启 OCSP 装订没有开启 HSTS 是因为部分子域仍有 HTTP 访问的需求图片图片...4.回源配置因为源站是 COS，所以关闭分片回源图片5.HTTPS 配置使用托管证书，开启 HTTP 2.0，强制 301 跳转 HTTP → HTTPS，TLS 允许 v1.0~1.3，开启 OCSP...装订图片图片6.高级配置修改了部分 HTTP 响应头，开启智能压缩图片0x04.CDN 音视频点播篇幅原因，只列出与上面图床配置不同的地方吧1.访问控制IP 访问限频 10QPS，开启视频拖拽，下行限速

43K1 0

用好CDN

域名拆分之后，接入CDN之前，你或许还需要准备证书，如果条件允许，准备一个泛域名证书会方便很多。...证书的申请和购买可以参考：https://cloud.tencent.com/document/product/400/7995 Step2....•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...另外，针对一些签发的比较低端或者免费的证书（比如：Let's Encrypt），当证书分配的ocsp地址是海外，没有在大陆加速的情况，可以大大缓解apple系统访问失败的情况——证书ocsp地址查看：openssl...，因为IOS系统的证书校验策略依赖这个方式。

10.8K5 1

组件分享之后端组件——一个可扩展的服务器平台caddy

、企业级的、开源的 Web 服务器，带有用 Go 编写的自动 HTTPS，默认使用TLS。...Caddy 简化了您的基础架构。它负责 TLS 证书更新、OCSP 装订、静态文件服务、反向代理、Kubernetes 入口等。...Caddy 的可扩展性也非常可笑，它具有强大的插件系统，可以大大改进其他 Web 服务器。要使用这种设计的力量，您需要了解配置文档的结构。...和Let's Encrypt用于公共名称用于内部名称和 IP 的完全托管的本地 CA 可以与集群中的其他 Caddy 实例协调多发行人后备当其他服务器因 TLS/OCSP/证书相关问题而停机时保持正常运行...在处理数万亿个请求并管理数百万个 TLS 证书后，可投入生产扩展到数以万计的站点......而且可能更多 HTTP/1.1、HTTP/2 和实验性 HTTP/3支持高度可扩展的模块化架构让

7022 0

关于接入CDN的一些实用策略

域名拆分之后，接入CDN之前，你或许还需要准备证书，如果条件允许，准备一个泛域名证书会方便很多。...•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...另外，针对一些签发的比较低端或者免费的证书（比如：Let's Encrypt），当证书分配的ocsp地址是海外，没有在大陆加速的情况，可以大大缓解apple系统访问失败的情况——证书ocsp地址查看：openssl...IOS系统的证书校验策略依赖这个方式。...其他系统很少遇到，他们有使用另外的证书检查机制。最后一个想给大家推荐的选项是智能压缩，这个静态资源，一定要打开，减少流量，加快传输速度。压缩的好处不再多说。 Step5.

2.1K14 4

真正“搞”懂HTTPS协议19之HTTPS优化

但是除了TLS握手的消耗外，其实还有一些隐形的损耗，比如：产生用于密钥交换的临时公私钥对（ECDHE）；验证证书时访问 CA 获取 CRL 或者 OCSP；非对称加密解密处理“Pre-Master...客户端的证书验证其实是个很复杂的操作，除了要公钥解密验证多个证书签名外，因为证书还有可能会被撤销失效，客户端有时还会再去访问 CA，下载 CRL 或者 OCSP 数据，这又会产生 DNS 查询、建立连接...所以，现在 CRL 基本上不用了，取而代之的是 OCSP（在线证书状态协议，Online Certificate Status Protocol），向 CA 发送查询请求，让 CA 返回证书的有效状态。...但 OCSP 也要多出一次网络请求的消耗，而且还依赖于 CA 服务器，如果 CA 服务器很忙，那响应延迟也是等不起的。...于是又出来了一个“补丁”，叫“OCSP Stapling”（OCSP 装订），它可以让服务器预先访问 CA 获取 OCSP 响应，然后在握手时随着证书一起发给客户端，免去了客户端连接 CA 服务器查询的时间

3992 0

玩转腾讯云CDN

本人见证了腾讯云一步步的成长，整体团队的不断进步，个人能力一点点的提升，遇到过各种各样的用户，咨询过各类相关问题。...OCSP装订 OCSP用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求会导致请求增长；启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，...无需用户再向数字证书认证机构（CA）发送查询请求。...针对一些签发的比较低端或者免费的证书（比如：Let's Encrypt），当证书分配的ocsp地址是海外，没有在大陆加速的情况，可以大大缓解apple系统访问失败的情况。

10.8K18 0

CoAP协议学习笔记 3.2 CoAP协议翻译 DTLS加密

当新连接形成时，需要验证来自远程设备的证书。如果CoAP节点有绝对时间源，那么节点应该检查证书的有效日期是否在范围内。...必须根据安全要求验证证书，使用与[RFC5280]第6节中规定的算法等效的功能。...如果证书中没有SubjectAltName，则请求URI的权限必须与使用[RFC3280]中定义的匹配规则的证书中的Common Name（CN）匹配，但不允许使用带有通配符的证书。...由于在线证书状态协议（OCSP）[RFC6960]到CoAP的映射目前尚未定义，并且OCSP也可能不容易适用于所有环境，因此另一种方法可能是使用TLS证书状态请求扩展（第8 [ RFC6066];也称为...“OCSP装订”）或优选多证书状态扩展（[RFC6961]）（如果可用）。

1.5K2 1

https原理及实践

证书用于验证客户端证书如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。...启用或禁用服务器对OCSP响应的装订。例： ssl_stapling on; resolver 192.0.2.1; 要使OCSP装订工作，应该知道服务器证书颁发者的证书。...设置时，装订好的OCSP响应将取自指定的地址，file而不是查询服务器证书中指定的OCSP响应者。该文件应该是由“openssl ocsp”命令产生的DER格式。...覆盖“ 授权信息访问 ”证书扩展中指定的OCSP响应者的URL 。...如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。

1.4K9 0

利用轻量云搭建高性能CDN

CDN服务器正常运行时仅需要系统有500MB的内存。但是，程序第一次编译安装的时候需要1500MB左右的内存。若您的VPS内存不够，可以加一些Swap....需要注意的是，该脚本需要安装在新装的操作系统中。该程序和其他面板（比如宝塔，cPanel, Directadmin）等不兼容。毕竟，装CDN程序的节点上也不应该搭建其他程序的。...您需要将您网站的域名设置A记录解析到这台VPS的IP地址上。您也可以随时重新运行该脚本，用来管理您的服务器上部署的CDN网站，查看网站统计，等等。...3, 管理面板脚本执行后拥有功能丰富但简单易用的后台管理界面。 ? 4, 实现的功能首先，最基本的功能就是CDN. ...同时，脚本支持一键设置SSL, 您可以提供您自己的SSL证书，或者也可以一键签发免费的Let’s Encrypt证书，并且开启OCSP装订。脚本还支持随时增添新的CDN网站。

2.3K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭