CDN中的OCSP Stapling是什么?需要开启吗？

更新时间：2024年01月07日 18:19:39 作者：安语未

最近使用CDN时,CDN后台都有一个OCSP Staplin的选项,一般在设置HTTPS里面,不知道什么意思,这里简单为大家分享一下

OCSP Stapling简介

OCSP（Online Certificate Status Protocol）Stapling是一种用于提高SSL/TLS证书验证性能和安全性的机制。它通过将证书颁发机构（CA）的响应缓存在Web服务器上，从而避免了每次客户端发起连接时都要进行OCSP查询的开销。

OCSP Stapling通过服务器自行获取和提供OCSP响应，避免了客户端每次连接都要发起OCSP查询的开销，并提高了验证的性能和安全性。

CDN中的OCSP Stapling是什么?有必要开启吗？

什么是OCSP Stapling

什么是OCSP Stapling
OCSP装订（OCSP Stapling），也称OCSP封套，是一个TLS证书状态查询扩展，作为在线证书状态协议的代替方法对X.509证书状态进行查询，目的是让证书使用者（例如浏览器）如何知道一个证书是否有效（证书颁发者有时候需要作废某些证书）。OCSP 响应本身经过了数字签名，无法伪造，所以 OCSP Stapling 技术既提高了握手效率，也不会影响安全性。

服务器在TLS握手时可以发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求.

为什么要开启 OCSP Stapling，这里再简单介绍下：

OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。OCSP 查询本质是一次完整的 HTTP 请求 - 响应，这中间 DNS 查询、建立 TCP、服务端处理等环节都可能耗费很长时间，导致最终建立 TLS 连接时间变得更长。

而 OCSP Stapling（OCSP 封套），是指服务端主动获取 OCSP 查询结果并随着证书一起发送给客户端，从而让客户端跳过自己去验证的过程，提高 TLS 握手效率。

Nginx域名解析问题

翻阅Nginx错误日志，发现有大量域名无法解析的错误提示：

ocsp2.globalsign.com could not be resolved (2: Server failure) while
requesting certificate status, responder: ocsp2.globalsign.com

ocsp2.globalsign.com could not be resolved (110: Operation timed out)
while requesting certificate status, responder: ocsp2.globalsign.com

错误中导致的域名无法解析的原因有两个：“2: Server failure”和“110: Operation timed out”，Nginx中的相关配置如下：

    resolver 10.143.22.116;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

看上去应该没有问题，而且在Bash中可以ping通ocsp2.globalsign.com域名，且用openssl能够获取OCSP Response，在这里卡了一段时间，最后终于发现是IPv6导致的问题。在nginx配置中加上关掉resolver的IPv6解析指令即可解决问题。(待验证)

    resolver 10.143.22.116:53 ipv6=off;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/holmesian.org.full;
    ssl_certificate /etc/nginx/holmesian.org.crt;
    ssl_certificate_key /etc/nginx/holmesian.org.key;

到此这篇关于CDN中的OCSP Stapling是什么?需要开启吗？的文章就介绍到这了,更多相关CDN OCSP Stapling内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

使用华为云鲲鹏弹性云服务器部署Discuz的详细过程
这篇文章主要介绍了使用华为云鲲鹏弹性云服务器部署Discuz,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2023-05-05
公网使用SSH远程登录macOS服务器的过程(内网穿透)
这篇文章主要介绍了公网使用SSH远程登录macOS服务器【内网穿透】,本次教程，我们将使用cpolar内网穿透工具，映射ssh服务默认端口：22端口，获取公网地址，实现在公网环境下的ssh远程登录，无需公网IP，也无需设置路由器，需要的朋友可以参考下
2023-04-04
一文让你知道服务器是什么
服务器指的是网络环境下能为其它客户机（如PC机、智能手机、ATM等终端甚至是火车系统等大型设备）提供某种服务的专用计算机,它比普通计算机运行更快、负载更高、价格更贵,服务器具有高速的CPU运算能力、长时间的可靠运行、强大的I/O外部数据吞吐能力以及更好的扩展性
2023-08-08
Windows下搭建MQTT服务器的详细教程
这篇文章主要介绍了Windows下搭建MQTT服务器的方法,基于mosquitto实现,有需要的朋友可以参考下
2023-08-08
Git客户端TortoiseGit（Windows系统）的使用方法
这篇文章主要介绍了Git客户端TortoiseGit（Windows系统）的使用方法,需要的朋友可以参考下
2014-09-09
Memcached 入门介绍(安装与配置)
Memcached是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提供动态、数据库驱动网站的速度
2014-08-08
联想服务器X3850 X6 配置RAID5阵列图文方法
这篇文章主要介绍了联想服务器X3850 X6 配置RAID5阵列图文方法,需要的朋友可以参考下
2018-05-05
详解samba + OPENldap 搭建文件共享服务器问题
这篇文章主要介绍了samba + OPENldap 搭建文件共享服务器,这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7。需要的朋友可以参考下
2019-10-10
RsyncServer服务无法启动的解决方法
网站采用了RsyncServer进行同步，但同步的时候经常无法连接远程RsyncServer服务器端，登陆后发现原来是RsyncServer服务无法启动了，其实解决方法很简单。
2010-04-04
服务器中aux,com1,com2,prn,con,nul等特殊文件删除方法
如果你在遇到CON不能删除，PRN不能删除，LPT不能删除，COM1不能删除，COM2不能删除，COM3不能删除，COM4不能删除，COM5不能删除，COM6不能删除，COM7不能除，COM8不能删除，NUL不能删除、AUX不能删除
2012-04-04