开启 OCSP Stapling


OCSP 技术可以让客户端通过服务器获取证书是否有效,不必请求CA签发机构,提供响应速度。

 

它是如何工作的

由证书颁发机构(如GeoTrust或Comodo) 生吊销列表 (crl)。当客户端发出验证信任链的请求时,此过程中的一个步骤是从服务器的x509证书中提取crl地址获取吊销数据,查询证书的唯一编码是否已加入CRL文件中,如果证书在吊销列表,证书验证失败。但是同时使用了服务器和客户端的大量带宽。这将为用户带来更长的加载时间。OCSP Stapling 技术——客户端不再向CA建立连接,服务器只是周期性地向OCSP服务器查询签名的、有时间戳的响应,并将其附加到证书上。这个响应将传递给客户端,客户端可以动态地验证它,而不需要额外的网络调用。

 

Nginx

ssl_stapling on;
ssl_stapling_verify on;

 

 

Apache

SSLUseStapling On
SSLStaplingCache shmcb:logs/ssl_stapling(32768)

 

IIS   WIN 2008 R2+ 以上版本才支持OCSP

 IIS 7  / Server 2008. 如果多个证书共享一个端口,需要添加注册表

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\
EnableOcspStaplingForSni value 1

PowerShell

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\" -Name "EnableOcspStaplingForSni" -PropertyType DWord -Value 1

 

OCSP 检查:   https://https66.com/ocsp

 

免备案空间专题