Nginx 网站 Https 优化之 OCSP 装订

小渣渣

需求：网站开启 OCSP 功能，OCSP stapling是Https优化方案之一，将原本需要客户端实时发起的 OCSP 请求转嫁给服务端，Nginx 服务区获取 OCSP 查询结果，并随证书一起发送给客户端，以此让客户端跳过自己去寻求验证的过程，提高 TLS 握手效率。 可以提高HTTPS性能。

OCSP

OCSP（Online Certificate Status Protocol）是用来检验证书合法性和有效性的在线查询协议，由数字证书颁发机构 CA（Certificate Authority）提供。当用户每次通过 HTTPS 访问网站的时候，浏览器会通过 OCSP 查询验证网站的证书是否有效。

启用 OCSP 装订后，OCSP 查询的工作将由 Web 服务器完成，且 Web 可将查询结果缓存到服务器中。当客户端与 Web 服务器 TLS 握手时，Web 直接响应客户端 OCSP 信息和证书，供客户端验证，无需再由客户端向 CA 发送查询请求，极大地提高了 TLS 握手效率，节省用户验证时间，优化 HTTPS 速度。若您希望提高 HTTPS 握手中证书状态校验的效率，提升网站访问性能，可开启 OCSP 装订。

如下图所示：



在线证书状态协议 (OCSP)

在线证书状态协议 (OCSP) 是作为证书吊销列表 (CRL) 协议的替代方案而创建的。这两个协议都用于检查 SSL 证书是否已被吊销。

CRL协议要求浏览器下载大量SSL证书吊销信息：证书序列号以及每个证书的最后发布日期。CRL协议的问题在于它可能会延长SSL协商所需的时间。

OCSP 协议无需浏览器花费时间下载并搜索证书信息列表。使用 OCSP，浏览器只需发出查询，即可从 OCSP 响应方（CA 的服务器，专门监听并响应 OCSP 请求）接收有关证书吊销状态的响应。

OCSP装订

OCSP Stapling 可以通过让网站托管方更主动地改善客户端（浏览）体验来增强 OCSP 协议。OCSP Stapling 允许证书颁发者（即 Web 服务器）直接查询 OCSP 响应方，然后缓存响应。此安全缓存的响应随后会通过 证书状态请求 扩展响应与 TLS/SSL 握手一起传递，从而确保浏览器在获取证书状态和网站内容时获得相同的响应性能。

OCSP Stapling 解决了 OCSP 的一个隐私问题，因为 CA 不再直接从客户端（浏览器）接收撤销请求。浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构)，会暴露网站的访客(CA 机构会知道哪些用户在访问我们的网站)。OCSP Stapling 还通过消除与 CA 响应服务器建立单独网络连接的需求，解决了 OCSP SSL 协商延迟的问题。

检查 OCSP 装订

提供两种方案来查询是否启用了 OCSP 装订功能。

在线网站查询：超链接登录可见。，输入域名即可。如下图：



OCSP Staple: Good 代表启用，Not Enabled 代表未启用。

也可以通过 openssl 工具使用命令行进行查询，命令如下：

登录可见。

OCSP response: no response sent 代表未启用
OCSP Response Status: successful (0x0) 代表启用

如下图：



Nginx 服务器配置 OCSP Stapling

修改 nginx 域名 conf 配置文件，在 server 节点添加如下：

登录可见。

配置完成后记得重启 nginx 服务。

参考：

超链接登录可见。
超链接登录可见。
超链接登录可见。
超链接登录可见。