蜘蛛吧,新站快速收录,高质量网站外链,吸引各种蜘蛛! 免费收录 快速收录 最新收录 网站地图 TAGS
首页/ > 文章资讯/ > 网站seo

网站页面优化,开启OCSP装订(OCSP Stapling)

2022-12-31 22:28:42   网站seo   0
【导读】:在线证书状态协议是维护服务器和其它网络资源安全性的两种普遍模式之一另一种更老的方法是证书注销列表已经被在线证书状态协议取代了很多年了简介在线证书状态协议克服了证书注销列表的主要缺陷必须经常在客户端下载以确保列表的更新当用户试图访问一个服务器...本文地址:/news/654.html

在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。另一种更老的方法是证书注销列表(CRL)已经被在线证书状态协议取代了很多年了。  

简介

在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。

其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。

OCSP装订

这种攻击促使CA和浏览器供应商引入SSL证书的扩展,该扩展在 RFC 7633,俗称 OCSP 必须装订 (尽管RFC本身没有提及此名称,这可能会引起一些混淆。)这只是要求对证书进行OCSP装订。 如果浏览器遇到带有此扩展名的证书而未使用OCSP装订,则将被拒绝。 OCSP Must-Staple可以缓解上述降级攻击,还可以减少流向CA的OCSP响应程序的不必要的流量,这也可以帮助提高OCSP的整体性能。

在服务器中启用OCSP装订

为了节省您查找的麻烦,以下各节包含有关如何在您的计算机中启用OCSP装订的说明 。

Nginx

在您的计算机中启用OCSP装订 Nginx的 服务器,请在服务器的配置文件中添加以下文本。

ssl_stapling on;
ssl_stapling_verify on;

当然了,如果您的网站开启了CDN功能就不需要在服务器端设置,一般CDN都提供OCSP装订功能,以腾讯云CDN为例:

登录 CDN 控制台,在菜单栏里选择【域名管理】,单击域名右侧【管理】,即可进入域名配置页面【Https 配置】中,可看到【OCSP 装订配置】,默认情况下为关闭状态,我们可以直接通过单击开关,对 OCSP 装订配置进行开启或关闭操作,如图:

个人博客网站页面优化,开启OCSP装订(OCSP Stapling) 第2张

注意:删除证书配置后,OCSP 装订配置会同步失效:

不仅仅是腾讯云CDN各大服务商都可以设置,只要开启了HTTPS就最好把ocsp装订功能开启。

总结

Web是相互依存的组件的复杂网络,所有这些组件(通常)协调工作以提供无缝的浏览体验。 但是,该系统的复杂性不断增加,导致攻击面不断扩大,并允许设计和执行新的网络攻击。大量的组件自然会增加延迟并导致延迟,这意味着企业需要找到在不影响用户体验的情况下提高安全性的方法。启用OCSP装订将为您提供提更高的安全性和提高网站的性能。

版权声明:

1、本文系转载,版权归原作者所有,旨在传递信息,不代表看本站的观点和立场。

2、本站仅提供信息发布平台,不承担相关法律责任。

3、若侵犯您的版权或隐私,请联系本站管理员删除。

4、文章来源:来自于网络收集。

网站声明:本站所有资料取之于互联网,任何公司或个人参考使用本资料请自辨真伪、后果自负,本站不承担任何责任。
©2017-2022 蜘蛛吧  https://www.zhizhuba.com/ ICP备案号:冀ICP备19007129号-5