- 综合排序
- 最热优先
- 最新优先
- 来自专栏网安信息
如何查询SSL证书的OCSP服务器IP地址
不同CA签发的SSL证书的OCSP验签速度有所不同,这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度,首先需要知道如何查询OCSP服务器IP地址。1. 查看“授权中心信息访问权限”即可获取OCSP的服务器。菜单路径:详细信息->证书字段->授权中心信息访问权限->OCSP响应程序,即可查看到OCSP的URL。图片5. 运行->cmd,ping出该URL即可获取到该OCSP服务器IP地址。图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。 其他证书均可参照上述步骤查询OCSP服务器IP地址。
6.5K40编辑于 2022-10-31 - 来自专栏洛叶的Blog
宝塔开启OCSP
MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING” 搞得我特别懵逼,我用谷歌、QQ、Edge等浏览器都没出现这样的问题,后来了解了一下才知道火狐要求OCSP 装订(但我有几个网站也没开启OCSP过,一样可以用火狐,咱也不知道也不敢问) 在Nginx配置文件加上 #开 启OCSP ssl_stapling on; ssl_stapling_verify on;
64030编辑于 2023-04-13 - 来自专栏李洋博客
个人博客网站页面优化,开启OCSP装订(OCSP Stapling)
在线证书状态协议(OCSP,Online Certificate Status Protocol)是维护服务器和其它网络资源安全性的两种普遍模式之一。 简介 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。 其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。 在服务器中启用OCSP装订 为了节省您查找的麻烦,以下各节包含有关如何在您的计算机中启用OCSP装订的说明 。 Nginx 在您的计算机中启用OCSP装订 Nginx的 服务器,请在服务器的配置文件中添加以下文本。
1.6K30编辑于 2022-09-30 - 来自专栏Fundebug
Nginx之OCSP stapling配置
摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。 什么是OCSP stapling? OCSP存在隐私和性能问题。 为了解决OCSP存在的2个问题,就有了OCSP stapling。由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 resolver属性用于指定DNS服务器地址, OCSP查询地址ocsp.int-x3.letsencrypt.org需要解析为IP地址。 即本地DNS服务: resolver 127.0.0.1; 由于本地并没有DNS服务,因此配置resolver之后Nginx会出现以下报错: 2018/02/28 15:35:47 [error] 8#8
2.4K50发布于 2018-06-28 - 来自专栏golang开发笔记
nginx优化https(ocsp)
在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。 服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。 ocsp比crl方式更加高效,但ocsp也存在一些问题,实时查询证书会给客户端带来一定性能影响,另一方面需要访问ca提供的第三方中心话验证服务器,如果这个第三方验证服务出现问题,或被攻击,将会导致ocsp 服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。 说白了,服务器代替客户端去进行OCSP查询,缓存查询结果,然后在与客户端进行TLS连接时返回给客户端。
1.7K21发布于 2020-09-27 - 来自专栏大大的小蜗牛
Oneinstack 手动修复 OpenSSL OCSP
目前 “Oneinstack”、“LNMP 一键包” 默认的 OpenSSL 版本都不是最新版,修复此漏洞需要重新编译。
62940编辑于 2022-12-20 - 来自专栏Windows技术交流
Windows IIS OCSP的开启和检测
腾讯云所有Windows未下线镜像对应的IIS版本都支持OCSP(系统≥server2008或≥Vista) 双击导入这个注册表项即可开启OCSP 这是我在https://freessl.cn/ 申请的免费证书 ,怀疑是OCSP服务器在海外,中国大陆访问海外,丢包率较高,所以时通时不通 openssl s_client -connect test.sanqinyinshi.cn:443 -servername -c 100 > ping.info 20%的丢包率,国外的,可以理解 OCSP服务器被限制访问或OCSP服务器访问慢,会导致https访问慢。 由于大多数全球权威CA的OCSP站点都设在国外,当网络环境较差、出现网络故障以及遇到特殊时期网络封锁,客户端无法连接到OCSP站点,或者OCSP站点无法返回证书状态内容,导致HTTPS请求可能还没到多次握手阶段 综上,开启OCSP要谨慎。 另外,有个在线检测OCSP的工具挺方便的:https://crt.sh/ 输入域名点查询,然后点ID进去能看到一个check按钮,变成Good说明开启OCSP了
2.8K30编辑于 2024-01-17 - 来自专栏用户8851537的专栏
Nginx 配置 OCSP Stapling 优化 HTTPS 访问
由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题. :443 -servername www.yourdomain.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" # 将命令中 www.yourdomain.com 改为你的域名 未生效结果 OCSP response: no response sent [avatar] 成功生效结果 OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type : Basic OCSP Response [avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可.
1.3K40发布于 2021-07-20 - 来自专栏我和你
Nginx开启OCSP的弊端以及优化方案
正文 一、弊端 此方式实现了OCSP查询在服务器端进行,避免了浏览器去进行OCSP验证从而影响访问速度; 但是OCSP响应的缓存并不是预加载的,而是异步加载的; 在Nginx启动后,只有当有客户端访问的时候 指令直接读取本地响应信息,这样就不会去实时查询证书的OCSP服务器,在进行SSL握手的时候直接将本地的响应信息进行下发,极大的加快了访问速度。 开始优化 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染,在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的,解决访问有两个 一:我们更改服务器的 DNS解析服务器为8.8.8.8等国外公共服务器 二:直接修改本地Hosts,指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址 这里我选择第二种,直接修改本地Hosts文件 如果要获取指定证书文件的OCSP响应,则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 .
3.7K30编辑于 2022-04-24 SSL证书中OCSP装订原理与实现
什么是ocsp装订它允许Web服务器查询OCSP响应器(即监听OCSP请求的证书颁发机构服务器),并将响应结果缓存起来。 它不是对每个证书验证请求都向CA的服务器发出请求,而是允许Web服务器直接定期查询OCSP响应器并缓存响应。 如何在您的服务器上启用OCSP Stapling现在大多数现代浏览器都支持OCSP Stapling。 OCSP Stapling如果您想要再次确认服务器上是否启用了OCSP Stapling ,您可以访问SSL Labs。 在协议详情部分,您将看到OCSP Stapling字段,这将指示您的服务器上是否启用了OCSP Stapling。或者,您可以使用命令行来检查OCSP Stapling是否启用。
35010编辑于 2025-08-21- 来自专栏獐
OCSP请求响应ASN.1编码注释
OCSP请求: OCSPRequest ::= SEQUENCE { tbsRequest TBSRequest, --待签名请求 issuerKeyHash OCTET STRING, -- 证书颁发者公钥的Hash serialNumber CertificateSerialNumber } --证书序列号OCSP 响应: OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, --OCSP响应状态 responseBytes
60320编辑于 2023-10-19 - 来自专栏程序那些事
密码学系列之:使用openssl检测网站是否支持ocsp
简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的,OCSP也是现代web服务器的标配。 但是OCSP stapling却不是所有的web服务器都支持。但是现实工作中我们可能需要知道具体某个网站对OCSP的支持程度。 接下来我们会详细讲解从获取服务器的证书到验证服务器是否支持OCSP stapling的一整套流程。 获取服务器的证书 要校验服务器是否支持OSCP,我们首先需要获取到这个服务器的证书,可以用openssl提供的 openssl s_client -connect来完成这个工作。 发送OCSP请求 有了OCSP responder的地址,我们就可以进行OCSP验证,在这个命令中我们需要用到服务器的证书和intermediate证书。
1.6K40编辑于 2022-07-11 - 来自专栏技术杂记
日志服务器(8)
客户端操作测试 [root@h202 ~]# ls anaconda-ks.cfg Downloads ip.log Music plot Templates vmware-tools-distrib Desktop install.log logger packages Public Videos zk Documents
1.1K20发布于 2021-10-20 - 来自专栏腾讯云 CDN 专家服务
CDN开启OCSP Stapling功能为何不生效?
2、OCSP OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,但是 OCSP 也引入了一个性能问题,某些客户端会在 SSL (OCSP 地址也在证书的详细信息中) OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。 ocsp的原理,如下按照ocsp验证的逻辑进行逐步确认。 " -header "host" "ocsp.int-x3.letsencrypt.org" 从响应结果看,连接超时,OCSP服务器无法正常响应。
4.3K290发布于 2020-11-02 - 来自专栏Yangsh888的专栏
Nginx 开启 OCSP Stapling 加快 HTTPS 网站的访问速度
设置完成后,可以解决 Let's Encrypt OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。
1.2K30编辑于 2022-03-29 - 来自专栏iSharkFly
CentOS 8 安装 mariadb 服务器
在 Centos 8 上,默认安装的 mariadb 服务器版本为:MariaDB Community Server 10.3 你只需要执行: dnf install mariadb-server 上面的命令进行安装就可以了 disabled) Active: active (running) since Fri 2020-11-27 16:06:39 UTC; 9s ago Docs: man:mysqld(8) [root@vps-14bde4ea ~]# 在上面的界面中,你可以看到运行服务器的版本。 通过这个命令,你可以看到当前的版本号。 https://www.ossez.com/t/centos-8-mariadb/738
1.2K01发布于 2020-11-28 - 来自专栏东风微鸣技术博客
HTTPS 基本原理和配置 - 2
1.5 其他 我提到过你如何协商你选择的密码; 你可以选择客户端的选择或服务器的选择。最好选择服务器的选择。这里有一个指令: ssl_prefer_server_ciphers——始终打开它。 五、又一加分项:配置 OCSP 装订(OCSP Stapling) 这是一些人喜欢使用的另一个附加功能,它实际上可以帮助加快连接速度。 HTTPS 不只需要三次往返,你还需要 OCSP。因此,OCSP 装订允许服务器获取证书未过期的证明。在后台,获取这个表示「是的,证书是好的」的 OCSP 响应,然后将它放入握手中。 第一次(598 ms) 8.到 CA 的 TCP 第二次(317ms) 9.到 CA 的 OCSP 第二次(444ms) 10.完成 SSL 握手(1270ms) 配置了 OCSP Stapling, 8E%B7%E5%BE%97%E4%B8%80%E4%B8%AA%E8%AF%81%E4%B9%A6%EF%BC%9F [3] cloudflare/cfssl: CFSSL: Cloudflare's
1.3K30编辑于 2022-04-22 - 来自专栏我和你
Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢
13.png Nginx OCSP stapling 由网站服务器去进行OCSP查询,缓存查询结果,然后在与浏览器进行TLS连接时返回给浏览器,这样浏览器就不需要再去查询了。 stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: # 开启 OCSP Stapling,开启后服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构 (CA)发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书,我的Let's Encrypt ffis.me/ca.cer ssl_trusted_certificate /usr/local/nginx/conf/ssl/ffis.me_ca.cer; # 添加resolver解析OSCP响应服务器的主机名 resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=60s; # 网络超时时间 resolver_timeout 2s; 添加后,重启nginx服务器,再次使用命令验证,OCSP
3.2K40编辑于 2022-05-11 - 来自专栏码农沉思录
90%的人都不懂的TLS握手优化
浏览器如果在 ClientHello 时带上了 Session Ticket,只要服务器能成功解密就可以完成快速握手。 … │ C15030CF8… │ √ │ 114.215.116.12 │ 4 │ √ │ 96A21A1849BD4… │ C15030CF8… │ √ √ │ 96A21A1849BD4… │ C15030CF8… │ √ │ 139.162.98.188 │ 2 │ √ │ 96A21A1849BD4… │ C15030CF8 值得注意的是,为了让一台服务器生成的 Session Ticket 能被另外服务器承认,往往需要对 Web Server 进行额外配置。 而 OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。
6.6K20发布于 2019-05-04 - 来自专栏网络技术联盟站
如何安装389目录服务器作为CentOS 8 RHEL 8机器的LDAP服务器?
389目录服务器是一个功能强大、高性能的LDAP服务器,它可以用于存储和管理用户、组和其他网络对象的身份验证和授权信息。 本文将详细介绍如何在CentOS 8 / RHEL 8机器上安装389目录服务器,并将其配置为LDAP服务器。 389目录服务器现在已成功安装在您的CentOS 8 / RHEL 8机器上。步骤 2:配置389目录服务器配置389目录服务器的过程涉及创建新的目录实例并设置相关参数。打开终端窗口。 通过这些工具,您可以在命令行中管理和配置389目录服务器的各个方面。总结安装和配置389目录服务器作为CentOS 8 / RHEL 8机器的LDAP服务器是构建和管理分布式目录服务的重要步骤。 通过安装389目录服务器软件包、创建新的实例并配置相关参数,您可以搭建一个高性能、可靠的LDAP服务器。
1.6K00编辑于 2023-05-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号