首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

为什么openssl在OCSP协议中发送CA证书

在OpenSSL中,当使用OCSP(在线证书状态协议)时,会发送CA证书是因为在验证证书的有效性时,需要使用CA证书对OCSP响应进行验证。

在OCSP协议中,客户端向OCSP服务器发送一个证书状态请求,该请求包含了需要验证的证书和CA证书的指纹。OCSP服务器收到请求后,会使用CA证书对响应进行签名,以确保响应的真实性和完整性。

因此,在使用OpenSSL进行OCSP验证时,需要提供CA证书,以便OpenSSL可以使用该证书对OCSP响应进行验证。如果不提供CA证书,OpenSSL将无法验证OCSP响应的有效性,从而导致验证失败。

总之,OpenSSL在OCSP协议中发送CA证书是为了确保证书状态响应的有效性和完整性。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

密码学系列之:使用openssl检测网站是否支持ocsp

简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的,OCSP也是现代web服务器的标配。...获取OCSP responder地址 如果证书中包含有OCSP responder的地址,那么可以用下面的命令来获取: openssl x509 -noout -ocsp_uri -in ca.pem...还有一种方法可以获得ocsp responder的地址: openssl x509 -text -noout -in ca.pem 这个命令会输出证书的所有信息,我们可以看到下面的内容: Authority...发送OCSP请求 有了OCSP responder的地址,我们就可以进行OCSP验证,在这个命令我们需要用到服务器的证书和intermediate证书。...具体的请求命令如下: openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com 从输出我们可以得到两部分

1.2K40

CDN开启OCSP Stapling功能为何不生效?

背景: 对于一个可信任的 CA 机构颁发的有效证书证书到期之前,只要 CA 没有将其吊销,那么这个证书就是有效可信任的。...有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。...Status Protocol,在线证书状态协议) 1、CRL CRL 是由 CA 机构维护的一个列表,列表包含已经被吊销的证书序列号和吊销时间。...每个证书的详细信息,都可以找到对应颁发机构的 CRL 地址。...(OCSP 地址也证书的详细信息OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是: SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过

3.8K290
  • 【Nginx37】Nginx学习:SSL模块(一)简单配置与指令介绍

    ssl_certificate file; 如果除了主证书之外还应指定中间证书,则应按以下顺序同一文件中指定它们:首先是主证书,然后是中间证书。 PEM 格式的密钥可以放在同一个文件。...使用 OpenSSL 1.0.2 或更高版本或使用旧版本的 prime256v1 时使用内置于 OpenSSL的列表。...none 温和地禁止使用会话缓存:nginx 告诉客户端会话可以被重用,但实际上并没有将会话参数存储缓存。 builtin OpenSSL 内置的缓存;仅由一个工作进程使用。...对于 OCSP 响应程序主机名的解析,还应指定解析器指令。 ssl_stapling_file 设置后,将从指定文件获取装订的 OCSP 响应,而不是查询服务器证书中指定的 OCSP 响应者。...ssl_verify_client 启用客户端证书的验证。验证结果存储 $ssl_client_verify 变量

    1.1K20

    nginx优化https(ocsp

    客户端通过访问CRL来验证网站证书是否有效。 在线证书状态协议ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencryp......,浏览器需要发送请求到这个地址来验证证书状态。 在线证书状态协议OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。...当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。...在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以更新以前的一段时间内继续访问服务器。...服务器TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA发送请求。

    1.2K21

    创建私有CA,我就用openSSL

    熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。 这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。...接下来我们创建一个自签名的证书,这里我们需要用到配置文件ca_req_ext部分: openssl ca -selfsign -config root-ca.conf -in root-ca.csr...revoke中指定要revoke的证书即可。...接下来我可以使用root CA和root-ocsp.csr颁发OCSP证书,这里我们需要用到配置文件ocsp_ext部分。...这里启动的是一个本地服务,正式环境可以考虑将其迁移到单独的服务器。 总结 使用上面的命令,我们搭建了一个私有的CA服务,和对应的OCSPopenssl非常强大,基本上你可以用他来做任何事情。

    1K40

    https原理及实践

    证书用于验证客户端证书 如果启用了ssl_stapling,则指定包含filePEM格式的可信CA证书,用于验证客户端证书OCSP响应。...使用OpenSSL 1.0.2或更高prime256v1版本时使用OpenSSL内置的列表,或使用旧版本。...none 会话缓存的使用被轻轻地禁止:nginx告诉客户端会话可能被重用,但实际上不会将会话参数存储缓存。 builtin 建立OpenSSL的缓存; 仅由一个工作进程使用。...设置时,装订好的OCSP响应将取自指定的地址,file而不是查询服务器证书中指定的OCSP响应者。 该文件应该是由“openssl ocsp”命令产生的DER格式。...如果启用了ssl_stapling,则 指定包含filePEM格式的可信CA证书,用于验证客户端证书OCSP响应。

    1.4K90

    网络安全的第一道防线:深入探索sslscanSSLTLS证书安全检测的原理与实践

    进一步协商阶段可能会处于阻塞状态,比如OCSP服务器境外被大陆限制访问或者被DNS污染,此时请求始终无法完成;通过OCSP Request发送证书颁发机构进行实时查询证书可用性,也可能会导致泄漏客户端的隐私...装订前:每台客户端第一次请求TLS证书时,都会先向CA证书颁发机构发送OCSP Request。...装订后:客户端发送OCSP Request给Web服务端,由Web服务端向CA证书颁发机构发送OCSP查询请求,再响应给客户端,并将结果缓存下来。...以通过openssl自签的双向证书为例:sslscan --show-client-cas 最后的Acceptable client certificate CA names部分可以看到服务端输出的允许的客户端...输出十六进制ID,也是一样的:它们ciphersuite.info也有展示:以及openssl.org的man文档也有展示对应映射关系:10.打印每次握手耗时(--show-times)此参数将显示每次握手所花费的时间

    7K109100

    Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

    摘要 最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢,但只要第一次访问后,后续的访问速度均不受影响...这就纳闷了,网站速度我都是优化过的,为什么会存在这种情况呢?...检测OCSP 有两种方法: 1.在线检测: 亚洲诚信的SSL检测工具 https://myssl.com/ 14.png 手动检测: openssl s_client -connect ffis.me...stapling 开启OCSP装订需要在网站的nginx配置文件添加如下配置: # 开启 OCSP Stapling,开启后服务器TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构...(CA发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书,我的Let's Encrypt...是acme.sh自动获取的证书ca证书目录为:/root/.acme.sh/ffis.me/ca.cer ssl_trusted_certificate /usr/local/nginx/conf/ssl

    2.4K40

    系统安全加密验证签名之Openssl命令

    OpenSSL在这一领域已经成为事实上的标准,并且拥有比较长的历史,OpenSSL被曝出现严重安全漏洞后,发现多数通过SSL协议加密的网站使用名为OpenSSL的开源软件包。...由于SSL技术已建立到所有主要的浏览器和WEB服务器程序,因此仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息客户端和服务器之间的加密传输,可以防止数据信息的泄露。...,任然采用-extensions选择ocsp_ext以确保设置了OCSP签名所需要的扩展; # root-ca.conf配置文件设置键值对如default_crl_days = 365,证书的生命周期减少为...,此时在生成证书便可能被复制加入到证书中),不过我认为较小的环境这么做是可以的。...: # 其次需要使用根CA签发一张证书,任然采用-extensions选择ocsp_ext以确保设置了OCSP签名所需要的扩展; # root-ca.conf 配置文件设置键值对如default_crl_days

    4.1K30

    HTTPS 优化总结

    OCSP Stapling OCSP Stapling 是什么 OCSP (Online Certificate Status Protocol) 通常是 CA 提供来实时验证证书是否合法有效的。...客户端就可以根据证书中的 OCSP 信息,发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于,对 CA 机构的验证接口高可用性有要求,增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议 的进一步升级。服务器事先模拟浏览器对证书链进行验证,然后将 OCSP 验证结果缓存到本地。... TLS 握手的过程,客户端发送 Change Cipher Spec 和 Finished,即握手完成前,就开始发送应用层的请求数据,服务端 TLS 握手完成时直接返回响应数据。...(包括你的站点),而这些受信任的 CA 有很多,如果某 CA 的某链被攻破,就可以造成由伪造或不正当手段获得网站证书的中间人攻击。

    73921

    HTTPS你不要这么慢了

    OpenSSL升级 协议升级 密钥协商算法优化 对称加密算法优化 TLS1.2升级为1.3 密钥协商算法优化 密钥协商算法尽量选取ECDHE算法,该算法相比RSA算法具有向前保密,且第三次握手以后就可以发送数据...CRL CRL是证书吊销列表,列表定期由CA更新,如果服务器的证书该列表证书则失效。...CRL的缺点: 定期刷新,实时性差,未刷新期间该证书依然有效 列表不断增大,下载耗时增加,同时客户端遍历证书验证列表耗时也增加 OCSP OCSP就是向CA发送查询请求,CA返回证书的有效状态。...OCSP的速度依赖CA服务器的状态和与CA服务器之间的网络状态,如果服务器响应慢或中间网络慢,都会导致证书验证变慢。...然后客户端和服务端建立TLS连接时,服务器会把上面的响应结果发送给客户端。客户端通过该结果就可以知道证书是否被吊销,不需要再向CA发起网络请求。

    1.3K30

    有关 TLSSSL 证书的一切

    openssl 并不信任这个中级 CA,所以我们要告诉 openssl,链条还有一个证书——中级 CA证书,通过这个中级 CA证书openssl 可以发现,哦,原来你这个 digicert_tls_rsa_sha256...我们还可以验证一下,openssl 有没有本地去读 CA 文件。...,有一种技术,就是客户端的代码拒绝信任所有 CA,只信任自己的证书。...原理上,就是 CA 证书自身带有这个信息,告诉客户端在校验证书的时候,应该去访问这个 URL 列表,查看自己要验证的证书是否吊销列表,如果在,就不要信任。...官网上的原理图 这我按照自己的理解解释一下,三方分别要做的事情: CA 签发证书的时候,必须将签发的证书放到 CT 数据库,CT 会给证书加 SCT;CA 将签名的证书发回给网站,这个证书是带有 SCT

    64520

    HTTPS 基本原理和配置 - 2

    1.1 NGINX 配置参数(OpenSSL开始之前: NGINX 处理 TLS 的方式是使用 OpenSSL,我相信你已经新闻中听说过这个库。...1.2 NGINX 配置证书链和私钥 所以,当你 NGINX 设置你的服务器部分时,ssl_certificate 就是你的证书链。这是你的证书加上所有的信任链一直到根证书。...有几种机制可以告诉浏览器证书已被吊销; 它们都有点粗略,但最流行的是 OCSP(Online Certificate Status Protocol,在线证书状态协议)。...因此,OCSP 装订允许服务器获取证书未过期的证明。在后台,获取这个表示「是的,证书是好的」的 OCSP 响应,然后将它放入握手中。这样客户端就不需要实际接触 CA 并获取它。 5.2 会快多少?...你可以从 CA 获得一个文件,并通过可信证书部分添加到该文件。 总结 以上就是配置 NGINX 和 OCSP 装订、HSTS 和 SSL 代理的方法。

    78030

    更快更安全,HTTPS 优化总结

    OCSP Stapling OCSP Stapling 是什么 OCSP (Online Certificate Status Protocol) 通常是 CA 提供来实时验证证书是否合法有效的...客户端就可以根据证书中的 OCSP 信息,发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于,对 CA 机构的验证接口高可用性有要求,增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议 的进一步升级。服务器事先模拟浏览器对证书链进行验证,然后将 OCSP 验证结果缓存到本地。...这样,当浏览器访问站点时,在握手阶段,可以直接拿到 OCSP 响应结果和证书链,就不需要再向 CA 请求接口,对访问速度有明显提升。... TLS 握手的过程,客户端发送 Change Cipher Spec 和 Finished,即握手完成前,就开始发送应用层的请求数据,服务端 TLS 握手完成时直接返回响应数据。

    3.1K110

    nginx下配置高性能,高安全性的https TLS服务

    并附送一个优化出来的openssl编译脚本,可以编译出一个高性能,高安全性的openssl库,您可以直接复制粘贴使用。 此处直接给出实践指导,后续再写文章解释tls协议的这些原理细节。...响应的各个ca证书+中级证书,和信任的ca证书列表。...当用来验证ocsp响应的时候,应该配置为你的ca证书+和中级ca证书的列表,此处可以简单和ssl_certificate使用同一个证书列表文件。...其中当需要使用tls的客户端认证的时候(大多数https server都用不到客户端认证),需要指定信任的ca证书列表文件, 这个文件centos里面是/etc/ssl/certs/ca-bundle.trust.crt...三, openssl编译优化 主流的https server,都是依赖openssl来提供tls协议openssl本身代码复杂,概念繁多,最近对这方面做了研究,下面是一个深入分析过后的最优化编译配置

    1.3K10

    「知识拾遗」你应该知道的 https

    基本概念 HTTP:超文本传输协议HTTP协议被用于Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号...HTTPS和HTTP的区别 1. https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。...HTTPS 网络访问过程 http协议下,用户只需要完成 TCP 三次握手建立 TCP 连接就能够直接发送 HTTP 请求获取应用层数据,此外在整个访问过程也没有需要消耗计算资源的地方。...Nginx设置Ocsp stapling。Ocsp 全称在线证书状态检查协议 (rfc6960),用来向 CA 站点查询证书状态,比如是否撤销。...通常情况下,浏览器使用 OCSP 协议发起查询请求,CA 返回证书状态内容,然后浏览器接受证书是否可信的状态。这个过程非常消耗时间,因为 CA 站点有可能在国外,网络不稳定,RTT 也比较大。

    43631

    真正“搞”懂HTTPS协议19之HTTPS优化

    所以,软硬件升级都不可行的情况下,我们最常用的优化方式就是现有的环境下挖掘协议自身的潜力。...客户端的证书验证其实是个很复杂的操作,除了要公钥解密验证多个证书签名外,因为证书还有可能会被撤销失效,客户端有时还会再去访问 CA,下载 CRL 或者 OCSP 数据,这又会产生 DNS 查询、建立连接...所以,现在 CRL 基本上不用了,取而代之的是 OCSP(在线证书状态协议,Online Certificate Status Protocol),向 CA 发送查询请求,让 CA 返回证书的有效状态。...但 OCSP 也要多出一次网络请求的消耗,而且还依赖于 CA 服务器,如果 CA 服务器很忙,那响应延迟也是等不起的。...于是又出来了一个“补丁”,叫“OCSP Stapling”(OCSP 装订),它可以让服务器预先访问 CA 获取 OCSP 响应,然后在握手时随着证书一起发给客户端,免去了客户端连接 CA 服务器查询的时间

    47220
    领券