导航栏

文章

  • 首页
  • 查看历史

导航栏

  • 登陆
    • QQ登陆 微博登陆
  • 其他
    • 图标库
  • 夜间模式
  • 退出登录

【亲测】Nginx 开启 OCSP Stapling 加快 HTTPS 网站的访问速度【亲测】


作者:科技小锅盖             时间:2022-4-15 15:11             站长QQ:1540217035

我们先来看OCSP 装订(OCSP Stapling)的作用,从自维基百科可以得知:OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。

其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。

其实很简单:

确认证书链

首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接https://myssl.com/chain_download.html 对证书链进行修复。

image.png

打开宝塔的SSL证书页面,选择并复制所有的字符

接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可

2.修改配置文件

image.png

点击站点的配置文件

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate  /path/to/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=600s;

设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。

顺便,把 TLSv1.1 也删了,提高网站安全性:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

改为

ssl_protocols TLSv1.2 TLSv1.3;

按下保存即可:  记着重启nginx

3.检测

image.png


image.png

配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到 OCSP 装订:支持,就大功告成了!!!

感觉有用就加一下,也不费事。


【转载亲测:宝塔面板在nginx环境下,开启OCSP装订(OCSP Stapling) - 玩个机吧 (wangejiba.com)】


推荐

【亲测】Nginx禁止相关目录访问 PHP、HTML、TXT等 文件【亲测】

2020-07-20 14:01:39

【亲测】宝塔面板 备份网站到 腾讯cos 遇到的问题【亲测】

2021-11-29 17:15:00

说好不送充电器的小米11正式推出 结果来个大反转继续送充电器套装

2020-12-30 09:41:04

安倍中枪:嫌疑人系原日本自卫队低级军官原汁霍威太郎

2022-07-08 11:49:33

谷歌可能会效仿苹果为安卓系统提供有限的反广告网络追踪功能

2021-02-08 10:00:55

iOS 14 Beta 6来了,稳定版也快了吧

2020-08-27 11:50:25

【亲测】vim -文件修改指令【亲测】

2022-10-08 19:46:33

西安2021跨年去哪里?

2021-01-08 16:56:23

【亲测】elasticsearch 配置集群后遇到的问题【亲测】

2021-12-13 18:02:51

【亲测】supervisor 进程重复启动相关问题处理【亲测】

2021-11-01 16:46:57

陕ICP备2021003534号-1 科技小锅盖 保留所有权利 网站地图 站长QQ:1540217035
    友情链接:
  • 米醋儿
  • 笔墨
  • 科技小锅盖halo站