MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING” 搞得我特别懵逼,我用谷歌、QQ、Edge等浏览器都没出现这样的问题,后来了解了一下才知道火狐要求OCSP...装订(但我有几个网站也没开启OCSP过,一样可以用火狐,咱也不知道也不敢问) 在Nginx配置文件加上 #开 启OCSP ssl_stapling on; ssl_stapling_verify on;
其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。...OCSP装订 这种攻击促使CA和浏览器供应商引入SSL证书的扩展,该扩展在 RFC 7633,俗称 OCSP 必须装订 (尽管RFC本身没有提及此名称,这可能会引起一些混淆。)...这只是要求对证书进行OCSP装订。 如果浏览器遇到带有此扩展名的证书而未使用OCSP装订,则将被拒绝。...OCSP Must-Staple可以缓解上述降级攻击,还可以减少流向CA的OCSP响应程序的不必要的流量,这也可以帮助提高OCSP的整体性能。...在服务器中启用OCSP装订 为了节省您查找的麻烦,以下各节包含有关如何在您的计算机中启用OCSP装订的说明 。
摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。 什么是OCSP stapling?...OCSP存在隐私和性能问题。...为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。...检测OCSP stapling SSL Labs能够对开启HTTPS的网站的SSL配置进行全面分析,可以检测OCSP stapling的状态。...对www.fundebug.com进行检查,会发现OCSP stapling是开启的: 对kiwenlau.com进行检查,会发现OCSP stapling是关闭的: 配置OCSP stapling 在查询
在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencryp...,浏览器需要发送请求到这个地址来验证证书状态。...ocsp比crl方式更加高效,但ocsp也存在一些问题,实时查询证书会给客户端带来一定性能影响,另一方面需要访问ca提供的第三方中心话验证服务器,如果这个第三方验证服务出现问题,或被攻击,将会导致ocsp...这里我们推荐更先进的OCSP stapling。 什么是OCSP stapling? 正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。...Nginx 配置 OCSP stapling 我使用的环境如下: CentOS/7.7.x NginX /1.12.x # 它从 1.3.7+ 开始支持OCSP stapling特性。.../dev/null 2>&1 | grep -i "OCSP response" 开启结果为: OCSP response: OCSP Response Data: OCSP Response
目前 “Oneinstack”、“LNMP 一键包” 默认的 OpenSSL 版本都不是最新版,修复此漏洞需要重新编译。
腾讯云所有Windows未下线镜像对应的IIS版本都支持OCSP(系统≥server2008或≥Vista) 双击导入这个注册表项即可开启OCSP 这是我在https://freessl.cn/ 申请的免费证书...:full_chain.pem和private.key 在Linux里,用openssl x509 -in full_chain.pem -noout -ocsp_uri 生成OCSP地址 我域名test.sanqinyinshi.cn...-c 100 > ping.info 20%的丢包率,国外的,可以理解 OCSP服务器被限制访问或OCSP服务器访问慢,会导致https访问慢。...由于大多数全球权威CA的OCSP站点都设在国外,当网络环境较差、出现网络故障以及遇到特殊时期网络封锁,客户端无法连接到OCSP站点,或者OCSP站点无法返回证书状态内容,导致HTTPS请求可能还没到多次握手阶段...综上,开启OCSP要谨慎。 另外,有个在线检测OCSP的工具挺方便的:https://crt.sh/ 输入域名点查询,然后点ID进去能看到一个check按钮,变成Good说明开启OCSP了
由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题....检查生效 在客户端,例如 macOS Linux 等系统下执行以下命令检查是否生效: openssl s_client -connect www.yourdomain.com:443 -servername...; # 将命令中 www.yourdomain.com 改为你的域名 未生效结果 OCSP response: no response sent [avatar] 成功生效结果 OCSP response...: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response...[avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可.
正文 一、弊端 此方式实现了OCSP查询在服务器端进行,避免了浏览器去进行OCSP验证从而影响访问速度; 但是OCSP响应的缓存并不是预加载的,而是异步加载的; 在Nginx启动后,只有当有客户端访问的时候...,Nginx才开始去请求OCSP响应并缓存到本地,并且当OCSP响应缓存过期的时候并不会去主动更新,而是等待客户端访问异步触发的更新; 这样就会导致总会有几次访问并没有走OCSP响应缓存从而导致还是会有访问速度缓慢的情况发生.../$SITE.ocsp-reply.txt # 输出到日志文件 cat $OUTDIR/$SITE.ocsp-reply.txt >> $LOGFILE # 记录最后一次OCSP请求结果 mv $OUTDIR.../getOCSP.sh abc.com //PS:后边的参数为需要获取OCSP响应的域名 运行后就会在指定的目录生成OCSP响应文件了 112.png 4.Nginx读取OCSP响应文件 这时的Nginx...OCSP缓存 虽然我们本地预加载了OCSP响应缓存,但是OCSP响应也是有生效时间了,超过有效时间就得重新获取,这里我们可以配置crontab定时任务去每日自动刷新OCSP响应缓存 //编辑crontab
OCSP请求: OCSPRequest ::= SEQUENCE { tbsRequest TBSRequest, --待签名请求...issuerKeyHash OCTET STRING, -- 证书颁发者公钥的Hash serialNumber CertificateSerialNumber } --证书序列号OCSP...响应: OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, --OCSP响应状态 responseBytes
2、OCSP OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,但是 OCSP 也引入了一个性能问题,某些客户端会在 SSL...(OCSP 地址也在证书的详细信息中) OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过...问题描述: 域名开启OCSP Stapling,但测试未生效 原因分析: 在分析原因前,可以通过如下图了解下CDN OCSP的工作原理 image.png 1、查看域名配置,确实有开启OCSP装订配置...ocsp的原理,如下按照ocsp验证的逻辑进行逐步确认。...://ocsp.int-x3.letsencrypt.org) openssl x509 -noout -ocsp_uri -in a.z-4.pem image.png 2.3 获取OCSP需要用到的证书链信息
设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。
不同CA签发的SSL证书的OCSP验签速度有所不同,这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度,首先需要知道如何查询OCSP服务器IP地址。1....查看“授权中心信息访问权限”即可获取OCSP的服务器。菜单路径:详细信息->证书字段->授权中心信息访问权限->OCSP响应程序,即可查看到OCSP的URL。图片5....运行->cmd,ping出该URL即可获取到该OCSP服务器IP地址。图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。...其他证书均可参照上述步骤查询OCSP服务器IP地址。
简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的,OCSP也是现代web服务器的标配。...但是OCSP stapling却不是所有的web服务器都支持。但是现实工作中我们可能需要知道具体某个网站对OCSP的支持程度。...OCSP stapling的。...我们可以得到网站的ocsp responder地址是:http://ocsp.digicert.com。...发送OCSP请求 有了OCSP responder的地址,我们就可以进行OCSP验证,在这个命令中我们需要用到服务器的证书和intermediate证书。
13.png Nginx OCSP stapling 由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。...:443 -servername ffis.me -status -tlsextdebug &1 | grep -i "OCSP response" 15.png 开启 OCSP...stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: # 开启 OCSP Stapling,开启后服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构...使用myssl验证,也提示OCSP已装订 17.png Firefox、IE、Safari浏览器的访问也正常了 18.png 再次使用Charles进行抓包,发现浏览器会跳过OCSP验证 19.png...之后我会在写一下关于开启OCSP的弊端和优化方案。 完结 以上就是Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢的内容,欢迎小伙伴们交流讨论。
/rootca.crlURI.1 = http://pki2.linux.cn/rootca.crl[ ocsp_section ]caIssuers;URI.0 = http://pki.linux.cn.../rootca.crtcaIssuers;URI.1 = http://pki2.linux.cn/rootca.crtOCSP;URI.0 = http://pki.linux.cn/ocsp/OCSP...;URI.1 = http://pki2.linux.cn/ocsp/ 如果你要设置一个特定的证书起止时间,添加下述内容到 [myca]。...= http://pki.linux.cn/intermediate1.crlURI.1 = http://pki2.linux.cn/intermediate1.crl[ ocsp_section....crtOCSP;URI.0 = http://pki.linux.cn/ocsp/OCSP;URI.1 = http://pki2.linux.cn/ocsp/ 修改 [alt_names] 小节为你所需的替代主题名
1.在/etc/hosts添加 23.32.3.72 ocsp.int-x3.letsencrypt.org 2.在ngxin的站点配置文件server块里添加如下代码: # ssl_stapling...测试是否成功 openssl s_client -connect jiangruyi.com:443 -status -tlsextdebug &1 | grep -i "OCSP...response" 如果命令执行后返回OCSP Response Status: successful (0x0)表示成功,返回OCSP response: no response sent表示失败。
OCSP的工作流程 既然CRL有这么多缺点,所以一个用来替代CRL的OCSP协议出现了。 我们先来看一下OCSP的工作流程。 假如A和B要进行使用PKI进行通讯。...OCSP的优点 从上面的OCSP的工作流程我们可以大概总结出下面几个OCSP相对于CRL的优点。 首先OCSP响应的数据量要比CRL要小,所以对网络的要求和压力更少。...另外因为OCSP响应要解析的数据更少,所以OCSP客户端的实现要比CRL更加简单。...OCSP responder在接收到OCSP的请求之后,会去校验OCSP消息的有效性,如果消息有问题则会返回异常,否则的话会根据请求的服务进行处理。...那么什么是OCSP stapling呢? OCSP stapling是直接将OCSP证书放到客户端要访问的web服务器上,因为OCSP证书是添加了时间戳和数字签名的,所以可以保证其正确性。
Status Protocol – OCSP的描述中,浏览器从在线OCSP服务器(也称为OCSP Response Server)请求证书的撤销状态,OCSP Server予以响应。...OCSP Stapling OCSP Stapling的方案是解决了CRL、OCSP的缺点,将通过OCSP Server获取证书吊销状况的过程交给Web 服务器来做,Web 服务器不光可以直接查询OCSP...为此,OCSP Must-Staple应运而生了,浏览器必须检测OCSP响应。...方案二:OCSP Stapling,跟RFC规范一样。如果security.OCSP.enabled的值为0,则忽略OCSP response。...欢迎投稿,投稿邮箱: editor@hi-linux.com 。
在旧版本的Linux平台上,可以改变路由的初始拥塞窗口: # ip route | while read p; do ip route change $p initcwnd 10; done 1.1.2...在 Linux 上,可以在连接空闲时禁用慢启动: # sysctl -w net.ipv4.tcp_slow_start_after_idle=0可以通过将该设置添加到 /etc/sysctl.conf...使用具有快速且可靠的 OCSP 响应程序的 CA 不同 CA 之间的 OCSP 响应程序性能不同,在你向 CA 提交之前先检查他们的历史 OCSP 响应程序。...另一个选择 CA 的标准是它更新 OCSP 响应程序的速度。 部署 OCSP stapling OCSP stapling 是一种允许在 TLS 握手中包含吊销信息(整个OCSP响应)的协议功能。...参考文章 《HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI》PDF下载见 https://www.linuxidc.com/Linux/2018-02/151008.htm
/ - DIRECT/117.18.237.29 application/ocsp-response 1404788989.738342172.17.1.23 TCP_MISS/2003890 CONNECT...DIRECT/74.125.200.106- 1404788989.757226172.17.1.23 TCP_MISS/200942 POST http://clients1.google.com/ocsp...- DIRECT/74.125.200.113 application/ocsp-response 1404788990.8393939172.17.1.23 TCP_MISS/20078944 CONNECT...# tar zxvf sarg-2.3.8.tar.gz # cd sarg-2.3.8 注意: 对于64位的Linux,log.c的源代码需要用下面的文件打补丁。...xmodulo.com/2014/07/analyze-squid-logs-sarg-log-analyzer-centos.html 译者:geekpi 校对:Caroline 本文由 LCTT 原创翻译,Linux
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
