- 综合排序
- 最热优先
- 最新优先
- 来自专栏网安信息
如何查询SSL证书的OCSP服务器IP地址
不同CA签发的SSL证书的OCSP验签速度有所不同,这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度,首先需要知道如何查询OCSP服务器IP地址。1. 图片2. 在弹窗中点击连接是安全的。图片3. 在弹出的菜单中,点击证书有效菜单,进入证书信息详情的弹窗。图片4. 查看“授权中心信息访问权限”即可获取OCSP的服务器。 菜单路径:详细信息->证书字段->授权中心信息访问权限->OCSP响应程序,即可查看到OCSP的URL。图片5. 运行->cmd,ping出该URL即可获取到该OCSP服务器IP地址。 图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。其他证书均可参照上述步骤查询OCSP服务器IP地址。
6.5K40编辑于 2022-10-31 - 来自专栏洛叶的Blog
宝塔开启OCSP
MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING” 搞得我特别懵逼,我用谷歌、QQ、Edge等浏览器都没出现这样的问题,后来了解了一下才知道火狐要求OCSP 装订(但我有几个网站也没开启OCSP过,一样可以用火狐,咱也不知道也不敢问) 在Nginx配置文件加上 #开 启OCSP ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 216.146.35.35 216.146.36.36 valid=60s; resolver_timeout 2s; 然后就可以正常访问了
64030编辑于 2023-04-13 - 来自专栏李洋博客
个人博客网站页面优化,开启OCSP装订(OCSP Stapling)
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。 简介 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。 其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。 在服务器中启用OCSP装订 为了节省您查找的麻烦,以下各节包含有关如何在您的计算机中启用OCSP装订的说明 。 Nginx 在您的计算机中启用OCSP装订 Nginx的 服务器,请在服务器的配置文件中添加以下文本。
1.6K30编辑于 2022-09-30 - 来自专栏Fundebug
Nginx之OCSP stapling配置
摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。 什么是OCSP stapling? OCSP存在隐私和性能问题。 为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 对www.fundebug.com进行检查,会发现OCSP stapling是开启的: 对kiwenlau.com进行检查,会发现OCSP stapling是关闭的: 配置OCSP stapling 在查询 resolver属性用于指定DNS服务器地址, OCSP查询地址ocsp.int-x3.letsencrypt.org需要解析为IP地址。
2.4K50发布于 2018-06-28 - 来自专栏golang开发笔记
nginx优化https(ocsp)
服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。 说白了,服务器代替客户端去进行OCSP查询,缓存查询结果,然后在与客户端进行TLS连接时返回给客户端。 resolver_timeout 2s;# resolver_timeout表示网络超时时间 检测 检查https网站是否开启OCSP stapling有两种方法: 1.SSL Labs https:/ 如果开启返回 OCSP stapling Yes 2.通过命令 openssl s_client -connect admin.xxx.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 开启结果为: OCSP response: OCSP Response Data: OCSP Response
1.7K21发布于 2020-09-27 - 来自专栏大大的小蜗牛
Oneinstack 手动修复 OpenSSL OCSP
后面的全部内容,比如我的是: –prefix=/usr/local/nginx –user=www –group=www –with-http_stub_status_module –with-http_v2_ /pcre-8.39 –with-pcre-jit –with-ld-opt=-ljemalloc 2、下载源码 cd ~/oneinstack/src 下载对应的 nginx: wget http:/ /configure –prefix=/usr/local/nginx –user=www –group=www –with-http_stub_status_module –with-http_v2_
62940编辑于 2022-12-20 - 来自专栏Windows技术交流
Windows IIS OCSP的开启和检测
,怀疑是OCSP服务器在海外,中国大陆访问海外,丢包率较高,所以时通时不通 openssl s_client -connect test.sanqinyinshi.cn:443 -servername response:' openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1_2 ,于是我ping这个域名看了下丢包率 ping statusf.digitalcertvalidation.com -c 100 > ping.info 20%的丢包率,国外的,可以理解 OCSP服务器被限制访问或 OCSP服务器访问慢,会导致https访问慢。 综上,开启OCSP要谨慎。 另外,有个在线检测OCSP的工具挺方便的:https://crt.sh/ 输入域名点查询,然后点ID进去能看到一个check按钮,变成Good说明开启OCSP了
2.8K30编辑于 2024-01-17 - 来自专栏用户8851537的专栏
Nginx 配置 OCSP Stapling 优化 HTTPS 访问
由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题. -connect www.yourdomain.com:443 -servername www.yourdomain.com -status -tlsextdebug < /dev/null 2& gt;&1 | grep -i "OCSP response" # 将命令中 www.yourdomain.com 改为你的域名 未生效结果 OCSP response : no response sent [avatar] 成功生效结果 OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response [avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求
1.3K40发布于 2021-07-20 - 来自专栏我和你
Nginx开启OCSP的弊端以及优化方案
开始优化 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染,在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的,解决访问有两个 一:我们更改服务器的 DNS解析服务器为8.8.8.8等国外公共服务器 二:直接修改本地Hosts,指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址 这里我选择第二种,直接修改本地Hosts文件 (香港) 175.45.42.218 (香港) 223.119.50.201 (香港) 223.119.50.203 (香港) 23.32.3.72 (东京) 2.编写Shell脚本去获取OCSP响应 2>&1 if grep -q ": good" $OUTDIR/$SITE.ocsp-reply.txt; then if cmp -s $OUTDIR/$SITE.ocsp.resp.new 定时任务 crontab -e //添加如下命令 #每日2:22分刷新OCSP缓存 22 2 * * * /root/getOCSP.sh abc.com > /dev/null 2>&1 这样crontab
3.7K30编辑于 2022-04-24 SSL证书中OCSP装订原理与实现
什么是ocsp装订它允许Web服务器查询OCSP响应器(即监听OCSP请求的证书颁发机构服务器),并将响应结果缓存起来。 它不是对每个证书验证请求都向CA的服务器发出请求,而是允许Web服务器直接定期查询OCSP响应器并缓存响应。 如何在您的服务器上启用OCSP Stapling现在大多数现代浏览器都支持OCSP Stapling。 TLSv1 .1 TLSv1 .2;ssl_certificate /etc/ssl/bundle .crt;ssl_certificate_key /etc/ssl/your_domain_name OCSP Stapling如果您想要再次确认服务器上是否启用了OCSP Stapling ,您可以访问SSL Labs。
35010编辑于 2025-08-21- 来自专栏獐
OCSP请求响应ASN.1编码注释
OCSP请求: OCSPRequest ::= SEQUENCE { tbsRequest TBSRequest, --待签名请求 -请求者名 requestList SEQUENCE OF Request, --请求查询证书列表 requestExtensions [2] issuerKeyHash OCTET STRING, -- 证书颁发者公钥的Hash serialNumber CertificateSerialNumber } --证书序列号OCSP 响应: OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, --OCSP响应状态 responseBytes successful (0), -- 证书有效 malformedRequest (1), -- 非法请求 internalError (2)
60320编辑于 2023-10-19 - 来自专栏腾讯云 CDN 专家服务
CDN开启OCSP Stapling功能为何不生效?
2、OCSP OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,但是 OCSP 也引入了一个性能问题,某些客户端会在 SSL (OCSP 地址也在证书的详细信息中) OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。 " -header "host" "ocsp.int-x3.letsencrypt.org" 从响应结果看,连接超时,OCSP服务器无法正常响应。 2、查看域名OCSP 地址: 可直接访问该地址,或ping 域名确认该地址能否成功访问。
4.3K290发布于 2020-11-02 - 来自专栏Owen's World
服务器2
2.改成以在服务器上npm run start的方式启动nuxt,监听3000端口,不会出现301请求了。但是静态文件会时不时出现404。 3.改成本地编译生成.nuxt文件夹之后,上传服务器启动。 * ${PRONAME}/*" 复制代码 4.正式服务器上通过pm2 管理nuxt项目。启动成功。 5.但仍有问题,部署过程中,需要在远程机器安装依赖,这个过程需要数秒钟。 "DB_ADAPTER=postgres" -e "DB_URI=postgresql://konga:konga@172.17.0.1:5432/konga" pantsel/konga 复制代码 服务器磁盘占满
71510编辑于 2021-12-07 - 来自专栏Yangsh888的专栏
Nginx 开启 OCSP Stapling 加快 HTTPS 网站的访问速度
设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。
1.2K30编辑于 2022-03-29 - 来自专栏程序那些事
密码学系列之:使用openssl检测网站是否支持ocsp
简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的,OCSP也是现代web服务器的标配。 但是OCSP stapling却不是所有的web服务器都支持。但是现实工作中我们可能需要知道具体某个网站对OCSP的支持程度。 接下来我们会详细讲解从获取服务器的证书到验证服务器是否支持OCSP stapling的一整套流程。 发送OCSP请求 有了OCSP responder的地址,我们就可以进行OCSP验证,在这个命令中我们需要用到服务器的证书和intermediate证书。 Type: Basic OCSP Response Version: 1 (0x0) Responder Id: B76BA2EAA8AA848C79EAB4DA0F98B2C59576B9F4
1.6K40编辑于 2022-07-11 - 来自专栏我和你
Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢
13.png Nginx OCSP stapling 由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 :443 -servername ffis.me -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 15.png 开启 OCSP stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: # 开启 OCSP Stapling,开启后服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构 (CA)发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书,我的Let's Encrypt resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=60s; # 网络超时时间 resolver_timeout 2s; 添加后,重启nginx服务器,再次使用命令验证,OCSP
3.2K40编辑于 2022-05-11 - 来自专栏Yangsh888的专栏
Lets Encrypt 被DNS污染导致苹果手机访问速度慢,Nginx 可以开启 OCSP 解决
,那直接给服务器换DNS服务器不就行了,OCSP验证放在网站服务器上并且缓存在本地,客户端直接查询服务器缓存的结果,也不用去等,多好 这时候就需要Nginx的OCSP装订功能了 由网站服务器去进行OCSP ffis.me -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 开启OCSP装订需要在网站的nginx配置文件中添加如下配置 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染,在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的,解决访问有两个 一:我们更改服务器的DNS解析服务器为 crontab定时任务去每日自动刷新OCSP响应缓存 crontab -e#每日2:22分刷新OCSP缓存22 2 * * * /root/getOCSP.sh ffis.me > /dev/null 2>&1 这样crontab定时任务就配置完成,至此我们的Nginx OCSP装订工作就到此完成~
3.3K41编辑于 2022-03-28 - 来自专栏运维杂家技术分享
抓包定位业务首次响应为什么需要等待几十秒
2 问题定位过程 2.1 背景描述 序号 内容 1 2019年11月28日,XXX有限公司向腾讯云报障,大量用户使用APP访问腾讯云服务器承载的业务,打开首页需要几十秒。 2 中国大陆网络无法访问OCSP Server,OCSP校验得不到响应,长时间等待校验结果,导致业务打开页面慢。 3 OCSP Server 中国大陆为什么无法访问? 服务器(也称为OCSP Response Server)请求证书的撤销状态,OCSP Server予以响应。 2 在浏览器发送服务器HTTPS证书序号到OCSP Server时使用HTTP协议,将暴露用户的隐私,存在一定的安全性。 2 解决方案如5.1.4 OCSP Must-Staple 5.1.4 OCSP Must-Staple 面对hard-fail、soft-fail的问题,各家浏览器厂商的态度都不一样。
5.9K133发布于 2019-12-10 - 来自专栏运维之美
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
包含使用SSL版本、服务器和客户端的随机数、密码套件、数据压缩等参数响应。2.第二阶段,服务端把域名证书的公钥下发给浏览器(客户端),浏览器(客户端)校验证书合法性。 校验通过后才去连想要访问的网站服务器,这相当浪费时间、效率。同时,很多浏览器所处网络是有网络访问限制的,可能在一个局域网,比如我们村,或者物理距离非常远,存在严重的网络延迟问题。 2. OCSP Stapling OCSP Stapling的方案是解决了CRL、OCSP的缺点,将通过OCSP Server获取证书吊销状况的过程交给Web 服务器来做,Web 服务器不光可以直接查询OCSP (资料比较少,apple官方也搜不到几条) 2. 方案四:OCSP,跟RFC规范一样。如果OCSP的响应在2秒(EV证书是10秒)内没返回,则直接忽略。
3K20发布于 2020-02-21 - 来自专栏程序那些事
密码学系列之:在线证书状态协议OCSP详解
于是从A的公钥中提取出serial number,并将其封装到一个’OCSP request’中发给CA服务器。 CA服务器中的OCSP responder读取到了’OCSP request’请求,并从中提取出A的公钥的serial number。 OCSP responder从CA服务器的数据库中查询这个serial number是否在这个数据库被撤销的列表中。 B通过使用CA服务器的公钥验证OCSP response的有效性,从而确认A的公钥仍然有效 。 最后B使用A的公钥和A进行通讯。 那么什么是OCSP stapling呢? OCSP stapling是直接将OCSP证书放到客户端要访问的web服务器上,因为OCSP证书是添加了时间戳和数字签名的,所以可以保证其正确性。
5.1K21编辑于 2022-07-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号