国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Nginx之OCSP stapling配置

CastlePeaK / 3406人閱讀

摘要:摘要正確地配置可以提高性能。顧名思義,它是一個用于檢查證書狀態的協議,瀏覽器使用這個協議來檢查證書是否被撤銷。存在隱私和性能問題。檢測能夠對開啟的網站的配置進行全面分析,可以檢測的狀態。根據文檔,最好使用本地服務,可以防止欺騙。

摘要: 正確地配置OCSP stapling, 可以提高HTTPS性能。

什么是OCSP stapling?

OCSP的全稱是Online Certificate Status Protocol,即在線證書狀態協議。顧名思義,它是一個用于檢查證書狀態的協議,瀏覽器使用這個協議來檢查證書是否被撤銷。使用Chrome瀏覽器查看https://www.fundebug.com的證書詳情,可以看到OCSP的查詢地址:

Fundebug使用的是Let"s Encrypt的免費證書,其OCSP查詢地址是http://ocsp.int-x3.letsencryp...,瀏覽器需要發送請求到這個地址來驗證證書狀態。

OCSP存在隱私性能問題。一方面,瀏覽器直接去請求第三方CA(Certificate Authority, 數字證書認證機構),會暴露網站的訪客(Let"s Encrypt會知道哪些用戶在訪問Fundebug);另一方面,瀏覽器進行OCSP查詢會降低HTTPS性能(訪問Fundebug會變慢)。

為了解決OCSP存在的2個問題,就有了OCSP stapling。由網站服務器去進行OCSP查詢,緩存查詢結果,然后在與瀏覽器進行TLS連接時返回給瀏覽器,這樣瀏覽器就不需要再去查詢了。這樣解決了隱私性能問題。

檢測OCSP stapling

SSL Labs能夠對開啟HTTPS的網站的SSL配置進行全面分析,可以檢測OCSP stapling的狀態。

www.fundebug.com進行檢查,會發現OCSP stapling是開啟的:

kiwenlau.com進行檢查,會發現OCSP stapling是關閉的:

配置OCSP stapling

在查詢Nginx日志時,我發現了這樣的報錯信息:

2018/02/27 02:58:11 [warn] 10#10: no resolver defined to resolve ocsp.int-x3.letsencrypt.org while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org, certificate: "/etc/letsencrypt/live/www.fundebug.com/fullchain.pem"

可知,是resolver屬性木有配置導致的。resolver屬性用于指定DNS服務器地址, OCSP查詢地址ocsp.int-x3.letsencrypt.org需要解析為IP地址。

根據Nginx文檔,最好使用本地DNS服務,可以防止DNS欺騙(DNS spoofing)。使用公共的DNS服務,例如Google Public DNS(8.8.8.8和8.8.4.4 ),都存在安全隱患。

To prevent DNS spoofing, it is recommended configuring DNS servers in a properly secured trusted local network.

因此,resolver最好配置為127.0.0.1,即本地DNS服務:

resolver 127.0.0.1;

由于本地并沒有DNS服務,因此配置resolver之后Nginx會出現以下報錯:

2018/02/28 15:35:47 [error] 8#8: send() failed (111: Connection refused) while resolving, resolver: 127.0.0.1:53

這時應該在本地運行一個DNS服務,例如dnsmasq。我們Fundebug所有服務包括Nginx都運行在Docker里面,因此dnsmasq直接運行在Docker里面就好了,這樣省去了安裝與配置的步驟:

sudo docker run -d --name=dnsmasq --net=host --cap-add=NET_ADMIN andyshinn/dnsmasq:2.75 --log-facility=-

Nginx的OCSP stapling完整配置如下:(此處省略了其他無關的配置選項)

http
{
    resolver 127.0.0.1;

    server
    {
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/www.fundebug.com/chain.pem;
    }
}
參考

TLS 握手優化詳解

從無法開啟 OCSP Stapling 說起

How To Configure OCSP Stapling on Apache and Nginx

No resolver defined to resolve ocsp.int-x3.letsen

[Nginx resolver vulnerabilities allow cache poisoning attack]()

版權聲明:
轉載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2018/03/07/nginx_ocsp_stapling/

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/39855.html

相關文章

  • 使用 https, 并將 WWW 跳轉到 NON-WWW

    摘要:使用定時證書因為是免費證書,所以有一個有效期是天,到期之后需要一下。工具測試評級測試評級出品的配置生成器 0x01: 背景 博客經常不更新,服務器還時不時掛掉一次,導致 PageRank 基本是負的了,不過技術上要跟的上更新啊! 微信小程序接口必須是 https, 這次就當是練手了。 0x02: 整體思路流程 確保自己的域名解析全部是 A 記錄 使用 Lets Encrypt 證書,...

    qpal 評論0 收藏0
  • 論微服務安全

    摘要:微服務能夠為應用程序設計提供一種更具針對性范圍性與模塊性的實現方案。安全微服務部署模式可謂多種多樣但其中使用最為廣泛的當數每主機服務模式。在微服務環境下,安全性往往成為最大的挑戰。不同微服務之間可通過多種方式建立受信關系。 每個人都在討論微服務,每個人也都希望能夠實現微服務架構,而微服務安全也日漸成為大家關注的重要問題。今天小數與大家分享的文章,就從應用層面深入探討了應對微服務安全挑戰...

    plokmju88 評論0 收藏0
  • 全站 HTTPS,讓你的網站更快速,更安全

    摘要:又拍云全站產品特性可自主上傳證書,步開啟全站加速服務。又拍云全站產品日志月支持采用了,網站的所有訪問將始終連接到該網站的加密版本阻止基于的中間人攻擊,保障用戶訪問安全。 showImg(https://segmentfault.com/img/remote/1460000007823220?w=800&h=296); 1、 為什么要使用 HTTPS ? 保護用戶關鍵信息及賬號安全防止頁...

    Developer 評論0 收藏0
  • 【大量干貨】史上最完整的Tengine HTTPS原理解析、實踐與調試

    摘要:內容主要有四個方面趨勢基礎實踐調試。一趨勢這一章節主要介紹近幾年和未來的趨勢,包括兩大瀏覽器和對的態度,以及淘寶天貓和阿里云的實踐情況。完整性是指為了避免網絡中傳輸的數據被非法篡改,使用算法來保證消息的完整性。 摘要: 本文邀請阿里云CDN HTTPS技術專家金九,分享Tengine的一些HTTPS實踐經驗。內容主要有四個方面:HTTPS趨勢、HTTPS基礎、HTTPS實踐、HTTPS...

    snowell 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<