- 综合排序
- 最热优先
- 最新优先
- 来自专栏网安信息
如何查询SSL证书的OCSP服务器IP地址
不同CA签发的SSL证书的OCSP验签速度有所不同,这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度,首先需要知道如何查询OCSP服务器IP地址。1. 图片3. 在弹出的菜单中,点击证书有效菜单,进入证书信息详情的弹窗。图片4. 查看“授权中心信息访问权限”即可获取OCSP的服务器。 菜单路径:详细信息->证书字段->授权中心信息访问权限->OCSP响应程序,即可查看到OCSP的URL。图片5. 运行->cmd,ping出该URL即可获取到该OCSP服务器IP地址。 图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。其他证书均可参照上述步骤查询OCSP服务器IP地址。
6.5K40编辑于 2022-10-31 - 来自专栏洛叶的Blog
宝塔开启OCSP
MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING” 搞得我特别懵逼,我用谷歌、QQ、Edge等浏览器都没出现这样的问题,后来了解了一下才知道火狐要求OCSP 装订(但我有几个网站也没开启OCSP过,一样可以用火狐,咱也不知道也不敢问) 在Nginx配置文件加上 #开 启OCSP ssl_stapling on; ssl_stapling_verify on;
64030编辑于 2023-04-13 - 来自专栏李洋博客
个人博客网站页面优化,开启OCSP装订(OCSP Stapling)
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。 简介 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。 其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。 在服务器中启用OCSP装订 为了节省您查找的麻烦,以下各节包含有关如何在您的计算机中启用OCSP装订的说明 。 Nginx 在您的计算机中启用OCSP装订 Nginx的 服务器,请在服务器的配置文件中添加以下文本。
1.6K30编辑于 2022-09-30 - 来自专栏Fundebug
Nginx之OCSP stapling配置
://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。 为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org, certificate: "/etc/letsencrypt resolver属性用于指定DNS服务器地址, OCSP查询地址ocsp.int-x3.letsencrypt.org需要解析为IP地址。 Stapling 说起 How To Configure OCSP Stapling on Apache and Nginx No resolver defined to resolve ocsp.int-x3
2.4K50发布于 2018-06-28 - 来自专栏golang开发笔记
nginx优化https(ocsp)
在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencryp...,浏览器需要发送请求到这个地址来验证证书状态。 服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。 ocsp比crl方式更加高效,但ocsp也存在一些问题,实时查询证书会给客户端带来一定性能影响,另一方面需要访问ca提供的第三方中心话验证服务器,如果这个第三方验证服务出现问题,或被攻击,将会导致ocsp 服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。 说白了,服务器代替客户端去进行OCSP查询,缓存查询结果,然后在与客户端进行TLS连接时返回给客户端。
1.7K21发布于 2020-09-27 - 来自专栏大大的小蜗牛
Oneinstack 手动修复 OpenSSL OCSP
wget https://www.openssl.org/source/openssl-1.0.2j.tar.gz (所有版本在这里 https://www.openssl.org/source/ ) 3、
62940编辑于 2022-12-20 - 来自专栏Windows技术交流
Windows IIS OCSP的开启和检测
接入了腾讯云CDN,目前腾讯云CDN支持tls1.0/1.1/1.2 用以下3条命令验证是否开启了OCSP,出现“OCSP response: no response sent”的概率较高,但也有成功的时候 ,怀疑是OCSP服务器在海外,中国大陆访问海外,丢包率较高,所以时通时不通 openssl s_client -connect test.sanqinyinshi.cn:443 -servername -c 100 > ping.info 20%的丢包率,国外的,可以理解 OCSP服务器被限制访问或OCSP服务器访问慢,会导致https访问慢。 由于大多数全球权威CA的OCSP站点都设在国外,当网络环境较差、出现网络故障以及遇到特殊时期网络封锁,客户端无法连接到OCSP站点,或者OCSP站点无法返回证书状态内容,导致HTTPS请求可能还没到多次握手阶段 综上,开启OCSP要谨慎。 另外,有个在线检测OCSP的工具挺方便的:https://crt.sh/ 输入域名点查询,然后点ID进去能看到一个check按钮,变成Good说明开启OCSP了
2.8K30编辑于 2024-01-17 - 来自专栏用户8851537的专栏
Nginx 配置 OCSP Stapling 优化 HTTPS 访问
由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题. :443 -servername www.yourdomain.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" # 将命令中 www.yourdomain.com 改为你的域名 未生效结果 OCSP response: no response sent [avatar] 成功生效结果 OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type : Basic OCSP Response [avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可.
1.3K40发布于 2021-07-20 - 来自专栏我和你
Nginx开启OCSP的弊端以及优化方案
开始优化 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染,在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的,解决访问有两个 一:我们更改服务器的 DNS解析服务器为8.8.8.8等国外公共服务器 二:直接修改本地Hosts,指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址 这里我选择第二种,直接修改本地Hosts文件 //编辑Hosts文件 vi /etc/hosts //添加如下信息 175.45.42.218 ocsp.int-x3.letsencrypt.org 这里列举出来一些常用的ocsp.int-x3. 服务器地址 HOST=ocsp.int-x3.letsencrypt.org # OCSP 响应保存文件地址 OUTDIR=/xxx/xxx/xxx/xxx/xxx/live # 日志文件地址 LOGFILE 如果要获取指定证书文件的OCSP响应,则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 .
3.7K30编辑于 2022-04-24 SSL证书中OCSP装订原理与实现
什么是ocsp装订它允许Web服务器查询OCSP响应器(即监听OCSP请求的证书颁发机构服务器),并将响应结果缓存起来。 它不是对每个证书验证请求都向CA的服务器发出请求,而是允许Web服务器直接定期查询OCSP响应器并缓存响应。 如何在您的服务器上启用OCSP Stapling现在大多数现代浏览器都支持OCSP Stapling。 ApacheSSLStaplingCache shmcb :/tmp/stapling_cache(128000) <VirtualHost *:443>SSLEngine onSSLProtocol all -SSLv3 OCSP Stapling如果您想要再次确认服务器上是否启用了OCSP Stapling ,您可以访问SSL Labs。
35010编辑于 2025-08-21- 来自专栏獐
OCSP请求响应ASN.1编码注释
OCSP请求: OCSPRequest ::= SEQUENCE { tbsRequest TBSRequest, --待签名请求 issuerKeyHash OCTET STRING, -- 证书颁发者公钥的Hash serialNumber CertificateSerialNumber } --证书序列号OCSP 响应: OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, --OCSP响应状态 responseBytes malformedRequest (1), -- 非法请求 internalError (2), -- 颁发者内部错误 tryLater (3)
60320编辑于 2023-10-19 - 来自专栏腾讯云 CDN 专家服务
CDN开启OCSP Stapling功能为何不生效?
(OCSP 地址也在证书的详细信息中) OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。 ://ocsp.int-x3.letsencrypt.org) openssl x509 -noout -ocsp_uri -in a.z-4.pem image.png 2.3 获取OCSP需要用到的证书链信息 " -header "host" "ocsp.int-x3.letsencrypt.org" 从响应结果看,连接超时,OCSP服务器无法正常响应。 ping ocsp.int-x3.letsencrypt.org curl -voa 'http://ocsp.int-x3.letsencrypt.org' image.png
4.3K290发布于 2020-11-02 - 来自专栏Yangsh888的专栏
Nginx 开启 OCSP Stapling 加快 HTTPS 网站的访问速度
设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。
1.2K30编辑于 2022-03-29 - 来自专栏Owen's World
服务器3
name 'server-dev.343.cn' 复制代码 一直以为是证书问题,发现nginx的配置 server_name配错了... butu18.04系统BUG引起的负载过高问题 问题描述: 此前测试服务器负载偏高 当日CPU频繁达到100%,负载几十,造成服务器瘫痪。 问题原因: 自查未找到原因。做如下尝试: 1.关闭服务器上的自建服务,负载未恢复正常。 3.阿里云调整了该实例的物理存储,负载未恢复正常。 4.将该实例打包成镜像重新创建实例,负载正常。 5.将该实例重装系统,选择ubutu16版本,负载正常。 options for Ubuntu>Ubuntu, with Linux 4.15.0-55-generic" 2.grep menuentry /boot/grub/grub.cfg 查看启动顺序 3.
56420编辑于 2021-12-07 - 来自专栏程序那些事
密码学系列之:使用openssl检测网站是否支持ocsp
简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的,OCSP也是现代web服务器的标配。 但是OCSP stapling却不是所有的web服务器都支持。但是现实工作中我们可能需要知道具体某个网站对OCSP的支持程度。 接下来我们会详细讲解从获取服务器的证书到验证服务器是否支持OCSP stapling的一整套流程。 发送OCSP请求 有了OCSP responder的地址,我们就可以进行OCSP验证,在这个命令中我们需要用到服务器的证书和intermediate证书。 Nonce: 04102873CFC7831AB971F3FDFBFCF3953EC5 从请求数据中,我们可以看到详细的OCSP请求数据结构,包括issuer的内容和OCSP
1.6K40编辑于 2022-07-11 - 来自专栏运维杂家技术分享
抓包定位业务首次响应为什么需要等待几十秒
3 根因 基于以上测试结果,中国大陆使用HTTPS协议访问业务出现慢的情况,因CA OCSP Server IP地址被限制,客户端长时间等待服务器端的响应导致。 2 中国大陆网络无法访问OCSP Server,OCSP校验得不到响应,长时间等待校验结果,导致业务打开页面慢。 3 OCSP Server 中国大陆为什么无法访问? 3 解决方案如5.1.2 OCSP *** 5.1.2 OCSP OCSP(Online Certificate Status Protocol)是一个用于获取X.509数字证书撤销状态的协议,在RCF 服务器(也称为OCSP Response Server)请求证书的撤销状态,OCSP Server予以响应。 域名证书创建时,自定义设定启用这个选项,将这个信息打入X.509 v3的扩展中,浏览器读取后,强制进行OCSP检测,走hard-fail模式。
5.9K133发布于 2019-12-10 - 来自专栏运维之美
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
同样的,X.509 v3证书的OCSP信息也是存储在拓展信息中,如alipay.com证书那张图的绿色框内部分。 而且,OCSP的验证有网络IO,花费了很长的时间,严重影响了浏览器访问服务器的用户体验。 OCSP Stapling OCSP Stapling的方案是解决了CRL、OCSP的缺点,将通过OCSP Server获取证书吊销状况的过程交给Web 服务器来做,Web 服务器不光可以直接查询OCSP 检测范围包括issuer发行商的证书、subject服务器的证书。 为什么IE访问HTTPS的网站时,会比别的浏览器慢?你应该已经知道答案了。 3. Mozilla Firefox 在2010年时,Mozilla Firefox的所有版本都支持OCSP方式检测。在Firefox 3里把OCSP检测机制设定为默认机制。
3K20发布于 2020-02-21 - 来自专栏Yangsh888的专栏
Lets Encrypt 被DNS污染导致苹果手机访问速度慢,Nginx 可以开启 OCSP 解决
,那直接给服务器换DNS服务器不就行了,OCSP验证放在网站服务器上并且缓存在本地,客户端直接查询服务器缓存的结果,也不用去等,多好 这时候就需要Nginx的OCSP装订功能了 由网站服务器去进行OCSP 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染,在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的,解决访问有两个 一:我们更改服务器的DNS解析服务器为 8.8.8.8等国外公共服务器 二:直接修改本地Hosts,指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址 这里我选择第二种,直接修改本地Hosts文件 vi /etc /hosts175.45.42.218 ocsp.int-x3.letsencrypt.org 这里列举出来一些常用的ocsp.int-x3.letsencrypt.org服务器IP地址 23.44.51.8 如果要获取指定证书文件的OCSP响应,则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 chmod +x getOCSP.sh.
3.3K41编辑于 2022-03-28 - 来自专栏我和你
Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢
IE浏览器上能复现该问题,在ssl握手之前,Firefox会阻塞2s,IE浏览器会阻塞10s以上; 11.png 问题能复现就好解决了; 使用Charles进行抓包,发现使用IE打开网站的时候,会去请求ocsp.int-x3 13.png Nginx OCSP stapling 由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: # 开启 OCSP Stapling,开启后服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构 (CA)发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书,我的Let's Encrypt resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=60s; # 网络超时时间 resolver_timeout 2s; 添加后,重启nginx服务器,再次使用命令验证,OCSP
3.2K40编辑于 2022-05-11 - 来自专栏程序那些事
密码学系列之:在线证书状态协议OCSP详解
于是从A的公钥中提取出serial number,并将其封装到一个’OCSP request’中发给CA服务器。 CA服务器中的OCSP responder读取到了’OCSP request’请求,并从中提取出A的公钥的serial number。 OCSP responder从CA服务器的数据库中查询这个serial number是否在这个数据库被撤销的列表中。 request internalError (2), -- Internal error in issuer tryLater (3) 那么什么是OCSP stapling呢? OCSP stapling是直接将OCSP证书放到客户端要访问的web服务器上,因为OCSP证书是添加了时间戳和数字签名的,所以可以保证其正确性。
5.1K21编辑于 2022-07-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号