摘要:摘要正確地配置可以提高性能。顧名思義,它是一個用于檢查證書狀態的協議,瀏覽器使用這個協議來檢查證書是否被撤銷。存在隱私和性能問題。檢測能夠對開啟的網站的配置進行全面分析,可以檢測的狀態。根據文檔,最好使用本地服務,可以防止欺騙。
摘要: 正確地配置OCSP stapling, 可以提高HTTPS性能。
什么是OCSP stapling?OCSP的全稱是Online Certificate Status Protocol,即在線證書狀態協議。顧名思義,它是一個用于檢查證書狀態的協議,瀏覽器使用這個協議來檢查證書是否被撤銷。使用Chrome瀏覽器查看https://www.fundebug.com的證書詳情,可以看到OCSP的查詢地址:
Fundebug使用的是Let"s Encrypt的免費證書,其OCSP查詢地址是http://ocsp.int-x3.letsencryp...,瀏覽器需要發送請求到這個地址來驗證證書狀態。
OCSP存在隱私和性能問題。一方面,瀏覽器直接去請求第三方CA(Certificate Authority, 數字證書認證機構),會暴露網站的訪客(Let"s Encrypt會知道哪些用戶在訪問Fundebug);另一方面,瀏覽器進行OCSP查詢會降低HTTPS性能(訪問Fundebug會變慢)。
為了解決OCSP存在的2個問題,就有了OCSP stapling。由網站服務器去進行OCSP查詢,緩存查詢結果,然后在與瀏覽器進行TLS連接時返回給瀏覽器,這樣瀏覽器就不需要再去查詢了。這樣解決了隱私和性能問題。
檢測OCSP staplingSSL Labs能夠對開啟HTTPS的網站的SSL配置進行全面分析,可以檢測OCSP stapling的狀態。
對www.fundebug.com進行檢查,會發現OCSP stapling是開啟的:
對kiwenlau.com進行檢查,會發現OCSP stapling是關閉的:
配置OCSP stapling在查詢Nginx日志時,我發現了這樣的報錯信息:
2018/02/27 02:58:11 [warn] 10#10: no resolver defined to resolve ocsp.int-x3.letsencrypt.org while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org, certificate: "/etc/letsencrypt/live/www.fundebug.com/fullchain.pem"
可知,是resolver屬性木有配置導致的。resolver屬性用于指定DNS服務器地址, OCSP查詢地址ocsp.int-x3.letsencrypt.org需要解析為IP地址。
根據Nginx文檔,最好使用本地DNS服務,可以防止DNS欺騙(DNS spoofing)。使用公共的DNS服務,例如Google Public DNS(8.8.8.8和8.8.4.4 ),都存在安全隱患。
To prevent DNS spoofing, it is recommended configuring DNS servers in a properly secured trusted local network.
因此,resolver最好配置為127.0.0.1,即本地DNS服務:
resolver 127.0.0.1;
由于本地并沒有DNS服務,因此配置resolver之后Nginx會出現以下報錯:
2018/02/28 15:35:47 [error] 8#8: send() failed (111: Connection refused) while resolving, resolver: 127.0.0.1:53
這時應該在本地運行一個DNS服務,例如dnsmasq。我們Fundebug所有服務包括Nginx都運行在Docker里面,因此dnsmasq直接運行在Docker里面就好了,這樣省去了安裝與配置的步驟:
sudo docker run -d --name=dnsmasq --net=host --cap-add=NET_ADMIN andyshinn/dnsmasq:2.75 --log-facility=-
Nginx的OCSP stapling完整配置如下:(此處省略了其他無關的配置選項)
http { resolver 127.0.0.1; server { ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/letsencrypt/live/www.fundebug.com/chain.pem; } }參考
TLS 握手優化詳解
從無法開啟 OCSP Stapling 說起
How To Configure OCSP Stapling on Apache and Nginx
No resolver defined to resolve ocsp.int-x3.letsen
[Nginx resolver vulnerabilities allow cache poisoning attack]()
版權聲明:
轉載時請注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2018/03/07/nginx_ocsp_stapling/
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/39855.html
摘要:使用定時證書因為是免費證書,所以有一個有效期是天,到期之后需要一下。工具測試評級測試評級出品的配置生成器 0x01: 背景 博客經常不更新,服務器還時不時掛掉一次,導致 PageRank 基本是負的了,不過技術上要跟的上更新啊! 微信小程序接口必須是 https, 這次就當是練手了。 0x02: 整體思路流程 確保自己的域名解析全部是 A 記錄 使用 Lets Encrypt 證書,...
摘要:又拍云全站產品特性可自主上傳證書,步開啟全站加速服務。又拍云全站產品日志月支持采用了,網站的所有訪問將始終連接到該網站的加密版本阻止基于的中間人攻擊,保障用戶訪問安全。 showImg(https://segmentfault.com/img/remote/1460000007823220?w=800&h=296); 1、 為什么要使用 HTTPS ? 保護用戶關鍵信息及賬號安全防止頁...
摘要:內容主要有四個方面趨勢基礎實踐調試。一趨勢這一章節主要介紹近幾年和未來的趨勢,包括兩大瀏覽器和對的態度,以及淘寶天貓和阿里云的實踐情況。完整性是指為了避免網絡中傳輸的數據被非法篡改,使用算法來保證消息的完整性。 摘要: 本文邀請阿里云CDN HTTPS技術專家金九,分享Tengine的一些HTTPS實踐經驗。內容主要有四個方面:HTTPS趨勢、HTTPS基礎、HTTPS實踐、HTTPS...
閱讀 1487·2021-11-24 11:16
閱讀 2689·2021-07-28 12:32
閱讀 2302·2019-08-30 11:22
閱讀 1440·2019-08-30 11:01
閱讀 595·2019-08-29 16:24
閱讀 3547·2019-08-29 12:52
閱讀 1625·2019-08-29 12:15
閱讀 1332·2019-08-29 11:18