1. 什么是OCSP stapling?
OCSP的全稱是Online Certificate Status Protocol固蚤,即在線證書狀態(tài)協(xié)議槽片。顧名思義啤斗,它是一個用于檢查證書狀態(tài)的協(xié)議焚鲜,瀏覽器使用這個協(xié)議來檢查證書是否被撤銷曲尸。使用Chrome瀏覽器查看https://www.baidu.com的證書詳情紊册,可以看到OCSP的查詢地址:
瀏覽器需要發(fā)送請求到這個地址來驗證證書狀態(tài)比肄。
OCSP存在隱私和性能問題快耿。一方面,瀏覽器直接去請求第三方CA(Certificate Authority, 數字證書認證機構)芳绩,會暴露網站的訪客(Let’s Encrypt會知道哪些用戶在訪問Fundebug)掀亥;另一方面,瀏覽器進行OCSP查詢會降低HTTPS性能(如訪問您的站點會變慢)妥色。
為了解決OCSP存在的2個問題搪花,就有了OCSP stapling。由網站服務器去進行OCSP查詢嘹害,緩存查詢結果撮竿,然后在與瀏覽器進行TLS連接時返回給瀏覽器,這樣瀏覽器就不需要再去查詢了笔呀。這樣解決了隱私和性能問題幢踏。
2. Nginx的OCSP stapling完整配置如下:(此處省略了其他無關的配置選項)
http
{
? ? resolver 127.0.0.1;
? ? server
? ? {
? ? ? ? ssl_stapling on;
? ? ? ? ssl_stapling_verify on;
? ? ? ? ssl_trusted_certificate *.pem文件地址;
? ? }
}
