导航栏

文章

  • 首页
  • 查看历史

导航栏

  • 登陆
    • QQ登陆 微博登陆
  • 其他
    • 图标库
  • 夜间模式
  • 退出登录

【亲测】Nginx 开启 OCSP Stapling 加快 HTTPS 网站的访问速度【亲测】


作者:科技小锅盖             时间:2022-4-15 15:11             站长QQ:1540217035

我们先来看OCSP 装订(OCSP Stapling)的作用,从自维基百科可以得知:OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。

其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。

其实很简单:

确认证书链

首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接https://myssl.com/chain_download.html 对证书链进行修复。

image.png

打开宝塔的SSL证书页面,选择并复制所有的字符

接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可

2.修改配置文件

image.png

点击站点的配置文件

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate  /path/to/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=600s;

设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。

顺便,把 TLSv1.1 也删了,提高网站安全性:

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

改为

ssl_protocols TLSv1.2 TLSv1.3;

按下保存即可:  记着重启nginx

3.检测

image.png


image.png

配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到 OCSP 装订:支持,就大功告成了!!!

感觉有用就加一下,也不费事。


【转载亲测:宝塔面板在nginx环境下,开启OCSP装订(OCSP Stapling) - 玩个机吧 (wangejiba.com)】


推荐

【亲测】前端复制粘贴 clipBoard.js 的使用【亲测】

2020-07-28 14:58:20

谷歌可能会效仿苹果为安卓系统提供有限的反广告网络追踪功能

2021-02-08 10:00:55

许久未见,整装新发乐檬K12系列

2020-12-02 09:32:15

【亲测】科技小锅盖推荐免费好用的api接口【亲测】

2020-09-04 10:07:44

【亲测】laravel 根据不同状态做数据统计 【亲测】

2021-08-02 14:23:10

学心理学有可能治愈自己和别人

2020-12-02 09:40:32

索尼已暂停向华为提供相机CMOS传感器

2020-09-23 13:19:58

阿里网盘快来了,你准备好了吗?

2020-08-27 11:50:54

【亲测】多个相同键值对的二维数组合并成一个二维数组【亲测】

2021-05-26 10:49:46

【亲测】composer私有库搭建过程 ,可不是网上烂大街的帖子【亲测】

2021-07-09 10:56:45

陕ICP备2021003534号-1 科技小锅盖 保留所有权利 网站地图 站长QQ:1540217035
    友情链接:
  • 米醋儿
  • 笔墨