首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

将tomcat配置为使用Java 9本机OCSP装订和OCSP检查

相关·内容

个人博客网站页面优化,开启OCSP装订OCSP Stapling)

OCSP装订 这种攻击促使CA浏览器供应商引入SSL证书的扩展,该扩展在 RFC 7633,俗称 OCSP 必须装订 (尽管RFC本身没有提及此名称,这可能会引起一些混淆。)...这只是要求对证书进行OCSP装订。 如果浏览器遇到带有此扩展名的证书而未使用OCSP装订,则将被拒绝。...ssl_stapling on; ssl_stapling_verify on; 当然了,如果您的网站开启了CDN功能就不需要在服务器端设置,一般CDN都提供OCSP装订功能,以腾讯云CDN例: 登录...装订配置进行开启或关闭操作,如图: 注意:删除证书配置后,OCSP 装订配置会同步失效: 不仅仅是腾讯云CDN各大服务商都可以设置,只要开启了HTTPS就最好把ocsp装订功能开启。...启用OCSP装订将为您提供提更高的安全性提高网站的性能。

1.2K30

HTTPS 基本原理配置 - 2

书接上文:HTTPS 基础原理配置 - 1[1],接下来介绍: 1.配置 NGINX 2.后端 HTTPS 3.检查配置 4.配置 HSTS5.OCSP Stapling 重要部分来了。...它因 Heartbleed 其他一些漏洞而闻名。它确实是最广泛使用的内置加密库。这是 NGINX 用于加密的。 因此,在服务器上要做的一件事是检查正在使用的 OpenSSL 版本。...你可以通过使用脱机计算机特殊管理员来实现这一点,但无论哪种情况,都存在一些挑战。 三、检查配置 NGINX 设置了 HTTPS。如何检查它的配置是否正确?...五、又一加分项:配置 OCSP 装订OCSP Stapling) 这是一些人喜欢使用的另一个附加功能,它实际上可以帮助加快连接速度。...总结 以上就是配置 NGINX OCSP 装订、HSTS SSL 代理的方法。 正如我提到的,在2008年, TLS v1.2 是最新和最好的。近期,他们推出了新版本,TLS v1.3。

78030
  • Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

    正文 一、问题研究 在多次尝试后,发现在FirefoxIE浏览器上能复现该问题,在ssl握手之前,Firefox会阻塞2s,IE浏览器会阻塞10s以上; 11.png 问题能复现就好解决了; 使用Charles...别急,开启之前我们是不是得先知道如何查询是否开启了OCSP装订,自:新消息频道 不然捣鼓半天都不知道开启成功了没有可还行.....stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: # 开启 OCSP Stapling,开启后服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构...使用myssl验证,也提示OCSP装订 17.png Firefox、IE、Safari浏览器的访问也正常了 18.png 再次使用Charles进行抓包,发现浏览器会跳过OCSP验证 19.png...之后我会在写一下关于开启OCSP的弊端优化方案。 完结 以上就是Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢的内容,欢迎小伙伴们交流讨论。

    2.4K40

    网络安全的第一道防线:深入探索sslscan在SSLTLS证书安全检测中的原理与实践

    一、前言sslscan用于扫描SSL/TLS证书并报告协议版本、密码套件、密钥交换、签名算法证书详细信息等,帮助用户从安全角度加强数据传输安全性,同时,sslscan还可以结果输出到XML文件中,以便外部程序使用...2)OCSP装订为了解决OCSP弊端,OCSP可以装订在Web服务器上,此时客户端直接向Web服务器发送OCSP Request,再由Web服务器统一去请求证书机构的OCSP服务器,并将结果缓存下来。...3)检测OCSP装订状态--ocsp可直接检测对端是否支持OCSP装订:sslscan --ocsp如果不支持则会明确显示:No OCSP response received.同时,myssl.com也支持在线检测...:顺便说下,Nginx可以在配置文件中启用OCSP装订,增加以下两行配置:ssl_stapling on;ssl_stapling_verify on;4)检测证书颁发机构的OCSP/CRL服务器这项功能其实属于下面要讲的参数...19.输出结果报错XML文件(--xml)要将输出信息输出xml格式文件时,可以是:sslscan --xml=file.xml 此输出参数可以配合上面所讲的所有参数搭配使用,它不仅仅在屏幕上输出结果

    7K109100

    Lets Encrypt 被DNS污染导致苹果手机访问速度慢,Nginx 可以开启 OCSP 解决

    在多次尝试后,发现在FirefoxIE浏览器上能复现该问题,在ssl握手之前,Firefox会阻塞2s,IE浏览器会阻塞10s以上; 问题能复现就好解决了;使用Charles进行抓包,发现使用IE打开网站的时候...,所以大部分的浏览器压根就没有进行使用OCSP协议去验证SSL域名的有效性,所以大部分的浏览器访问速度就很快了;但是有些浏览器,比如苹果的SafariIE就强制开启了OCSP验证,Firefox的OCSP...response" 开启OCSP装订需要在网站的nginx配置文件中添加如下配置: ssl_stapling on;ssl_stapling_verify on;ssl_trusted_certificate...使用myssl验证,也提示OCSP装订 Firefox、IE、Safari浏览器的访问也正常了 再次使用Charles进行抓包,发现浏览器会跳过OCSP验证 此方式实现了OCSP查询在服务器端进行...2>&1 这样crontab定时任务就配置完成,至此我们的Nginx OCSP装订工作就到此完成~

    2.6K41

    CDN开启OCSP Stapling功能为何不生效?

    那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式:CRL(Certificate Revocation List,证书吊销列表) OCSP(Online Certificate...另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以结果缓存起来,极大的提高了性能、效率用户体验。...问题描述: 域名开启OCSP Stapling,但测试未生效 原因分析: 在分析原因前,可以通过如下图了解下CDN OCSP的工作原理 image.png 1、查看域名配置,确实有开启OCSP装订配置.../dev/null | sed -n '/-----BEGIN/,/-----END/p' > a.z-4.pem 2.2 检查证书是否具有OCSP URI 如下所示,域名有开启OCSP(url:http...我司证书是使用亚洲诚信机构颁发的,OCSP地址http://statuse.digitalcertvalidation.com,经测试在全国主要电信运营商均可以正常访问。

    3.8K290

    Nginx开启OCSP的弊端以及优化方案

    摘要 前面有写利用《Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢》的问题,这篇文章总结优化一下一些会出现的问题。...指令直接读取本地响应信息,这样就不会去实时查询证书的OCSP服务器,在进行SSL握手的时候直接本地的响应信息进行下发,极大的加快了访问速度。...--OCSP响应请求完毕------------' >> $LOGFILE 我的这个脚本是针对 acme.sh 脚本而编写的, 如果你使用的也是acme.sh,直接修改脚本中的: acme.sh安装目录...如果要获取指定证书文件的OCSP响应,则需要自己手动修改对应的证书目录OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 ....定时任务就配置完成 至此我们的Nginx OCSP装订工作就到此完成~ 完结 以上就是Nginx开启OCSP的弊端以及优化方案的内容,欢迎小伙伴们交流讨论。

    3.2K30

    如何 Discuz! Q 站点接入腾讯云 CDN ,加速站点访问

    您可以通过添加线路类型默认、记录值1.com 线路类型联通、记录值 2.com 的两条 CNAME 记录来实现。 记录值:在 CDN 控制台获取的CNAME 记录值。...步骤3:CDN 配置优化 TIP 完成 CDN 接入后,建议您进行以下配置,可帮助您进一步加快网站访问提交站点安全。...如下图所示: 开启 OCSP 装订配置。...启用 OCSP 装订(TLS 证书状态查询扩展)后, 服务器在 TLS 握手时会发送事先缓存的在线证书状态协议(OCSP)响应,供用户验证,无需用户再向数字证书认证机构(CA)发送查询请求。...OCSP 装订极大地提高了 TLS 握手效率,节省了用户验证时间。如下图所示: TIP 若您还需其他优化需求,您可参见 CDN 产品文档 配置指南 (opens new window)进行配置

    6.3K30

    【Nginx37】Nginx学习:SSL模块(一)简单配置与指令介绍

    ssl_ocsp_cache OCSP 验证设置存储客户端证书状态的缓存的名称大小。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ,要使 OCSP 装订工作,应该知道服务器证书颁发者的证书。...对于 OCSP 响应程序主机名的解析,还应指定解析器指令。 ssl_stapling_file 设置后,将从指定文件中获取装订OCSP 响应,而不是查询服务器证书中指定的 OCSP 响应者。...ssl_stapling_verify on | off; 默认值 off ,为了使验证工作,服务器证书颁发者的证书、根证书所有中间证书应使用 ssl_trusted_certificate 指令配置受信任的...这三个配置说实话,真不复杂,也非常好记。 下篇文章我们继续 SSL 的学习,主要是继续介绍 SSL 模块的错误状态码、变量信息以及分析一下宝塔生成的 SSL 配置是什么内容。

    1.1K20

    抓包定位业务首次响应为什么需要等待几十秒

    2.2 用户的业务架构梳理 [2.2.png] 序号 名称 内容 1 客户设备 苹果手机IOS苹果电脑MACOS 2 客户网络 移动网络4G固网wifi(联通,电信,移动) 3 负载均衡 客户端访问负载均衡...4.1.3 规避方案应用 优势弊端提供给用户,用户评估确定是否使用。...2 在浏览器发送服务器HTTPS证书序号到OCSP Server时使用HTTP协议,暴露用户的隐私,存在一定的安全性。...3.3 解决方案如5.1.3 OCSP Stapling *** 5.1.3 OCSP Stapling OCSP装订,是TLS证书状态查询扩展,作为在线证书状态协议的替代方法对X.509证书状态进行查询...域名证书创建时,自定义设定启用这个选项,这个信息打入X.509 v3的扩展中,浏览器读取后,强制进行OCSP检测,走hard-fail模式。

    5.6K133

    揭秘EdgeOne:WordPress网站安全加速

    服务器配置SSL证书安装在服务器上,并确保所有通过HTTP的请求都被重定向到HTTPS。 测试验证:使用工具检查你的网站是否正确配置了HTTPS,并修复任何问题。...监控更新:定期检查更新SSL/TLS配置,以应对新的安全威胁。...OCSP 装订 OCSP装订的作用 OCSP装订是一种可以提高网站访问速度的技术,它允许服务器直接获取证书状态信息,而不需要用户每次访问都去查询。...配置OCSP装订的步骤 启用OCSP装订:在服务器或CDN设置中启用OCSP装订功能。 配置证书:确保你的SSL证书支持OCSP,并正确配置OCSP响应。...强制HTTPS、合理的SSL/TLS配置、以及OCSP装订都是提升网站安全性性能的重要步骤。

    574151

    玩转腾讯云CDN

    今天开始用最简短的语言总结CDN产品的各类问题,方便广大用户了解使用,感谢支持! 一、开通 1、实名认证: 根据国家规定,使用cdn产品需要完成实名认证。...2、信用度检查: 在开通 CDN 服务时,会进行账号信用度检查。...中国境外暂不支持使用流量包进行流量抵扣 加速区域源站存在跨境,访问质量会受到公网环境影响。即源站在境外,加速区域境内;源站在境内,加速区域境外。 2....OCSP装订 OCSP用来检验证书合法性的在线查询服务,一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时,实时查询 OCSP 接口,并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求会导致请求增长;启用 OCSP 装订(TLS 证书状态查询扩展)后, 服务器在 TLS 握手时会发送事先缓存的在线证书状态协议(OCSP)响应,供用户验证,

    10.9K180

    一键安装可以使用浏览器访问的Linux桌面环境

    1, 脚本特色 从源码编译安装Guacamole服务器 配置Guacamole Web APP 安装Tomcat 9, XRDP/TigerVNC, XFCE4桌面环境,火狐浏览器 一键安装配置Let’...s Encrypt安全证书,开启OCSP装订 安装Nginx反代Tomcat 安装完毕后,您可以使用任意浏览器访问远程桌面,无需再使用VNC/RDP客户端 2, 安装系统需求 本程序支持Ubuntu 18.04...如果安装过程中有报错,您可以检查同目录下的OneClickDesktop.log日志文件。...综上,使用OneClickDesktop一键脚本,您可以自由方便地在Linux服务器上搭建随时随地用浏览器即可访问的桌面环境,让您便捷地管理您的Linux服务器,无需再使用繁琐的命令行。...注1:添加中文支持 1, 重新配置系统locales 1 sudo dpkg-reconfigure locales 2, 安装亚洲语言包 1 2 sudo apt-get install language-pack-ja

    1.9K30

    关于接入CDN的一些实用策略

    腾讯云 COS 使所有用户都能使用具备高扩展性、低成本、可靠安全的数据存储服务。CDN+COS是一种文件存储分发的高优方案。 Step4....•回源超时—可以调整回源连接读取的超时时间,针对某些情况源站响应慢的场景,调大后,可大大缓解回源失败。 接下来第三个建议使用的选项是配置热备源站。...•OCSP装订OCSP(Online Certificate Status Protocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属 CA 提供。...其他系统很少遇到,他们有使用另外的证书检查机制。 最后一个想给大家推荐的选项是 智能压缩,这个静态资源,一定要打开,减少流量,加快传输速度。压缩的好处不再多说。 Step5....切换解析 以上工作做完,域名各项配置完成后,CDN会分配一个CNAME地址给你,需要你加速域名DNS解析指向这个CNAME地址,你才能真正的使用CDN服务。

    2.2K144

    用好CDN

    腾讯云 COS 使所有用户都能使用具备高扩展性、低成本、可靠安全的数据存储服务。CDN+COS是一种文件存储分发的高优方案。 Step4....•回源超时—可以调整回源连接读取的超时时间,针对某些情况源站响应慢的场景,调大后,可大大缓解回源失败。 第三个,建议使用的选项是配置热备源站。...•OCSP装订OCSP(Online Certificate Status Protocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属 CA 提供。...其他系统很少遇到,他们有使用另外的证书检查机制。 最后一个想给大家推荐的选项是 智能压缩,这个静态资源,一定要打开,减少流量,加快传输速度。压缩的好处不再多说。...切换解析 以上工作做完,域名各项配置完成后,CDN会分配一个CNAME地址给你,需要你加速域名DNS解析指向这个CNAME地址,你才能真正的使用CDN服务。

    10.9K51

    微信小程序首次请求慢 Safari浏览器访问慢 pending 10秒 可能是HTTPS证书的锅

    问题 服务端证书使用的是 Let's Encrypt 问题的起因是IOS系统中使用微信小程序,请求服务器接口,首次请求需要等待3 ~ 10秒。导致小程序初次打开白屏。...在反复验证后,排除了Nginx、TomcatJava等问题。最终锁定了问题出在HTTPS证书上。 最终参考了V站大佬的帖子才恍然大悟。...,测试后发现比较新的Chrome内核Firefox内核 不会 进行校验,而苹果系统下的Safari 会 校验,IE 未知 ,在IOS系统的微信小程序 会 校验,Android系统的微信小程序则 不会...其中主域名 abc.com www.abc.com 是可以共用一张证书的,按 abc.com 申请即可。...其他二级域名例如 music.abc.com 需要多次申请 方案2 OCSP Stapling 这是一个曲线救国的方案,也就是在Nginx配置OCSP的校验地址,到你自己的服务器或CDN,来避免访问不通原地址

    1.9K20

    保护微服务(第一部分)

    我们如何一个容器与其他容器隔离开来,以及容器与主机操作系统之间有什么隔离级别? 应用程序级安全性:我们如何验证访问控制用户以使用微服务,以及如何保护微服务之间的沟通渠道?...在进行任何验证检查之前,令牌收件人必须首先检查JWT是否发布给他使用,如果不是,应立即拒绝。...客户端可以在本地缓存CRL,而不是每个请求做这件事,但是这会遇到了基于陈旧数据做出安全决策的问题。当使用TLS相互认证时,服务器也必须对客户端执行相同的证书验证。...使用OCSP must stapling,服务(下游微服务)客户端(上游微服务)提供了一个保证,OCSP响应附加到它在TLS握手期间接收到的服务证书。...不可变的服务器的含义是 - 在持续交付流程结束时,直接从服务器加载的配置中构建服务器或容器,并且应该能够使用相同的配置一次又一次构建相同的容器。

    2.5K50
    领券