OCSP 則是一個在線查詢接口,瀏覽器可以實時查詢單個證書的合法性。在每個證書的詳細信息中,都可以找到對應頒發機構的 CRL 和 OCSP 地址。
OCSP 的問題在於,某些客戶端會在 TLS 握手階段進一步協商時,實時查詢 OCSP 接口,並在獲得結果前阻塞后續流程,這對性能影響很大。而 OCSP Stapling(OCSP 封套),是指服務端在證書鏈中包含頒發機構對證書的 OCSP 查詢結果,從而讓瀏覽器跳過自己去驗證的過程。服務端有更快的網絡,獲取 OCSP 響應更容易,也可以將 OCSP 響應緩存起來。OCSP 響應本身經過了數字簽名,無法偽造,所以 OCSP Stapling 技術既提高了握手效率,也不會影響安全性。
啟用 OCSP 的相關配置
ssl_trusted_certificate 選項應指向證書頒發結構的中間證書+根證書,而不是購買的ssl證書。
否則會報:"ssl_stapling" ignored, no OCSP responder URL in the certificate。
報錯:報nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "default.csr" 錯誤。
打開ssl_stapling on 和 ssl_stapling_verify on 的同時要帶着 ssl_trusted_certificate 配置。