原标题:NGINX 开启OCSP装订
导读:
OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。启用OCSP装订后其实就是可以加速网站访问,尤其对于OCSP服务器遭...
OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。
其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。
事情起因,在F12调试过程中,发现有些项目的SSL加载时间特别长。可能的原因是什么?怎么解决?
答:其实只要开启OCSP装订即可解决;
在Nginx的s配置文件下的server模块添加:
ssl_stapling on; ssl_stapling_verify on;
然后保存退出,重启Nginx服务器或者重新加载Nginx配置文件即可!
还没有评论,来说两句吧...