开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

将tomcat配置为使用Java 9本机OCSP装订和OCSP检查

Requests to the ChatCompletions_Create Operation under Azure OpenAI API version 2024-02-15-preview have exceeded token rate limit of your current OpenAI S0 pricing tier. Please retry after 1 second. Please go here: https://aka.ms/oai/quotaincrease if you would like to further increase the default rate limit.

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

个人博客网站页面优化，开启OCSP装订（OCSP Stapling）

OCSP装订这种攻击促使CA和浏览器供应商引入SSL证书的扩展，该扩展在 RFC 7633，俗称 OCSP 必须装订（尽管RFC本身没有提及此名称，这可能会引起一些混淆。）...这只是要求对证书进行OCSP装订。如果浏览器遇到带有此扩展名的证书而未使用OCSP装订，则将被拒绝。...ssl_stapling on; ssl_stapling_verify on; 当然了，如果您的网站开启了CDN功能就不需要在服务器端设置，一般CDN都提供OCSP装订功能，以腾讯云CDN为例：登录...装订配置进行开启或关闭操作，如图：注意：删除证书配置后，OCSP 装订配置会同步失效：不仅仅是腾讯云CDN各大服务商都可以设置，只要开启了HTTPS就最好把ocsp装订功能开启。...启用OCSP装订将为您提供提更高的安全性和提高网站的性能。

1.2K3 0

HTTPS 基本原理和配置 - 2

书接上文：HTTPS 基础原理和配置 - 1[1]，接下来介绍： 1.配置 NGINX 2.后端 HTTPS 3.检查配置 4.配置 HSTS5.OCSP Stapling 重要部分来了。...它因 Heartbleed 和其他一些漏洞而闻名。它确实是最广泛使用的内置加密库。这是 NGINX 用于加密的。因此，在服务器上要做的一件事是检查正在使用的 OpenSSL 版本。...你可以通过使用脱机计算机和特殊管理员来实现这一点，但无论哪种情况，都存在一些挑战。三、检查配置 NGINX 设置了 HTTPS。如何检查它的配置是否正确?...五、又一加分项：配置 OCSP 装订（OCSP Stapling）这是一些人喜欢使用的另一个附加功能，它实际上可以帮助加快连接速度。...总结以上就是配置 NGINX 和 OCSP 装订、HSTS 和 SSL 代理的方法。正如我提到的，在2008年， TLS v1.2 是最新和最好的。近期，他们推出了新版本，TLS v1.3。

7803 0

Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

正文一、问题研究在多次尝试后，发现在Firefox和IE浏览器上能复现该问题，在ssl握手之前，Firefox会阻塞2s，IE浏览器会阻塞10s以上； 11.png 问题能复现就好解决了；使用Charles...别急，开启之前我们是不是得先知道如何查询是否开启了OCSP装订，自：新消息频道不然捣鼓半天都不知道开启成功了没有可还行.....stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： # 开启 OCSP Stapling，开启后服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构...使用myssl验证，也提示OCSP已装订 17.png Firefox、IE、Safari浏览器的访问也正常了 18.png 再次使用Charles进行抓包，发现浏览器会跳过OCSP验证 19.png...之后我会在写一下关于开启OCSP的弊端和优化方案。完结以上就是Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢的内容，欢迎小伙伴们交流讨论。

2.4K4 0

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

一、前言sslscan用于扫描SSL/TLS证书并报告协议版本、密码套件、密钥交换、签名算法和证书详细信息等，帮助用户从安全角度加强数据传输安全性，同时，sslscan还可以将结果输出到XML文件中，以便外部程序使用...2）OCSP预装订为了解决OCSP弊端，OCSP可以装订在Web服务器上，此时客户端直接向Web服务器发送OCSP Request，再由Web服务器统一去请求证书机构的OCSP服务器，并将结果缓存下来。...3）检测OCSP装订状态--ocsp可直接检测对端是否支持OCSP装订：sslscan --ocsp如果不支持则会明确显示：No OCSP response received.同时，myssl.com也支持在线检测...：顺便说下，Nginx可以在配置文件中启用OCSP装订，增加以下两行配置：ssl_stapling on;ssl_stapling_verify on;4）检测证书颁发机构的OCSP/CRL服务器这项功能其实属于下面要讲的参数...19.将输出结果报错为XML文件（--xml）要将输出信息输出为xml格式文件时，可以是：sslscan --xml=file.xml 此输出参数可以配合上面所讲的所有参数搭配使用，它不仅仅在屏幕上输出结果

Lets Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

在多次尝试后，发现在Firefox和IE浏览器上能复现该问题，在ssl握手之前，Firefox会阻塞2s，IE浏览器会阻塞10s以上；问题能复现就好解决了；使用Charles进行抓包，发现使用IE打开网站的时候...，所以大部分的浏览器压根就没有进行使用OCSP协议去验证SSL域名的有效性，所以大部分的浏览器访问速度就很快了；但是有些浏览器，比如苹果的Safari和IE就强制开启了OCSP验证，Firefox的OCSP...response" 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： ssl_stapling on;ssl_stapling_verify on;ssl_trusted_certificate...使用myssl验证，也提示OCSP已装订 Firefox、IE、Safari浏览器的访问也正常了再次使用Charles进行抓包，发现浏览器会跳过OCSP验证此方式实现了OCSP查询在服务器端进行...2>&1 这样crontab定时任务就配置完成，至此我们的Nginx OCSP装订工作就到此完成~

2.6K4 1

CDN开启OCSP Stapling功能为何不生效？

那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢，通常有两种方式：CRL（Certificate Revocation List，证书吊销列表）和 OCSP（Online Certificate...另外服务器有更好的网络，能更快地获取到 OCSP 结果，同时也可以将结果缓存起来，极大的提高了性能、效率和用户体验。...问题描述：域名开启OCSP Stapling，但测试未生效原因分析：在分析原因前，可以通过如下图了解下CDN OCSP的工作原理 image.png 1、查看域名配置，确实有开启OCSP装订配置.../dev/null | sed -n '/-----BEGIN/,/-----END/p' > a.z-4.pem 2.2 检查证书是否具有OCSP URI 如下所示，域名有开启OCSP（url：http...我司证书是使用亚洲诚信机构颁发的，OCSP地址为http://statuse.digitalcertvalidation.com，经测试在全国主要电信运营商均可以正常访问。

3.8K29 0

Nginx开启OCSP的弊端以及优化方案

摘要前面有写利用《Nginx开启OCSP以解决Let's Encrypt证书被DNS污染访问缓慢》的问题，这篇文章总结和优化一下一些会出现的问题。...指令直接读取本地响应信息，这样就不会去实时查询证书的OCSP服务器，在进行SSL握手的时候直接将本地的响应信息进行下发，极大的加快了访问速度。...--OCSP响应请求完毕------------' >> $LOGFILE 我的这个脚本是针对 acme.sh 脚本而编写的，如果你使用的也是acme.sh，直接修改脚本中的： acme.sh安装目录...如果要获取指定证书文件的OCSP响应，则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 //添加可执行权限 chmod +x getOCSP.sh //运行脚本 ....定时任务就配置完成至此我们的Nginx OCSP装订工作就到此完成~ 完结以上就是Nginx开启OCSP的弊端以及优化方案的内容，欢迎小伙伴们交流讨论。

3.2K3 0

如何将 Discuz! Q 站点接入腾讯云 CDN ，加速站点访问

您可以通过添加线路类型为默认、记录值为1.com 和线路类型为联通、记录值为 2.com 的两条 CNAME 记录来实现。记录值：在 CDN 控制台获取的CNAME 记录值。...步骤3：CDN 配置优化 TIP 完成 CDN 接入后，建议您进行以下配置，可帮助您进一步加快网站访问和提交站点安全。...如下图所示：开启 OCSP 装订配置。...启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。...OCSP 装订极大地提高了 TLS 握手效率，节省了用户验证时间。如下图所示： TIP 若您还需其他优化需求，您可参见 CDN 产品文档配置指南 (opens new window)进行配置。

6.3K3 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

ssl_ocsp_cache 为 OCSP 验证设置存储客户端证书状态的缓存的名称和大小。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ，要使 OCSP 装订工作，应该知道服务器证书颁发者的证书。...对于 OCSP 响应程序主机名的解析，还应指定解析器指令。 ssl_stapling_file 设置后，将从指定文件中获取装订的 OCSP 响应，而不是查询服务器证书中指定的 OCSP 响应者。...ssl_stapling_verify on | off; 默认值 off ，为了使验证工作，服务器证书颁发者的证书、根证书和所有中间证书应使用 ssl_trusted_certificate 指令配置为受信任的...这三个配置说实话，真不复杂，也非常好记。下篇文章我们将继续 SSL 的学习，主要是继续介绍 SSL 模块的错误状态码、变量信息以及分析一下宝塔生成的 SSL 配置是什么内容。

1.1K2 0

抓包定位业务首次响应为什么需要等待几十秒

2.2 用户的业务架构梳理 [2.2.png] 序号名称内容 1 客户设备苹果手机IOS和苹果电脑MACOS 2 客户网络移动网络4G和固网wifi(联通，电信，移动) 3 负载均衡客户端访问负载均衡为...4.1.3 规避方案应用将优势弊端提供给用户，用户评估确定是否使用。...2 在浏览器发送服务器HTTPS证书序号到OCSP Server时使用HTTP协议，将暴露用户的隐私，存在一定的安全性。...3.3 解决方案如5.1.3 OCSP Stapling *** 5.1.3 OCSP Stapling OCSP装订，是TLS证书状态查询扩展，作为在线证书状态协议的替代方法对X.509证书状态进行查询...域名证书创建时，自定义设定启用这个选项，将这个信息打入X.509 v3的扩展中，浏览器读取后，强制进行OCSP检测，走hard-fail模式。

5.6K13 3

揭秘EdgeOne:WordPress网站安全加速

服务器配置：将SSL证书安装在服务器上，并确保所有通过HTTP的请求都被重定向到HTTPS。测试和验证：使用工具检查你的网站是否正确配置了HTTPS，并修复任何问题。...监控和更新：定期检查和更新SSL/TLS配置，以应对新的安全威胁。...OCSP 装订 OCSP装订的作用 OCSP装订是一种可以提高网站访问速度的技术，它允许服务器直接获取证书状态信息，而不需要用户每次访问都去查询。...配置OCSP装订的步骤启用OCSP装订：在服务器或CDN设置中启用OCSP装订功能。配置证书：确保你的SSL证书支持OCSP，并正确配置了OCSP响应。...强制HTTPS、合理的SSL/TLS配置、以及OCSP装订都是提升网站安全性和性能的重要步骤。

56915 1

Nginx 配置文档

access_log /var/log/nginx/yourdomain.com.https.log;请求体大小client_max_body_size 20m;H5自动适配（通过修改变量$html_root来返回和调整不同的页面地址内容...(txt) { root /etc/nginx/text;}使用 WebSocketlocation /javaweb/ { proxy_pass http://127.0.0.1:8099...(js|css|png|jpg|jpeg|gif|ico)$ { expires max; log_not_found off;}开启OCSP套件# 开启OCSP装订 (和ssl_certificate...配置在一起)ssl_stapling on;ssl_stapling_verify on;验证，更换成自己的域名和端口即可openssl s_client -connect httpsok.com:443...OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response➜

660 0

玩转腾讯云CDN

今天开始用最简短的语言总结CDN产品的各类问题，方便广大用户了解和使用，感谢支持！一、开通 1、实名认证：根据国家规定，使用cdn产品需要完成实名认证。...2、信用度检查：在开通 CDN 服务时，会进行账号信用度检查。...中国境外暂不支持使用流量包进行流量抵扣加速区域和源站存在跨境，访问质量会受到公网环境影响。即源站在境外，加速区域为境内；源站在境内，加速区域为境外。 2....OCSP装订 OCSP用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。某些客户端会在 TLS 握手阶段进一步协商时，实时查询 OCSP 接口，并在获得结果前阻塞后续流程。...OCSP 查询本质是一次完整的 HTTP 请求会导致请求增长；启用 OCSP 装订（TLS 证书状态查询扩展）后，服务器在 TLS 握手时会发送事先缓存的在线证书状态协议（OCSP）响应，供用户验证，

10.9K18 0

一键安装可以使用浏览器访问的Linux桌面环境

1, 脚本特色从源码编译安装Guacamole服务器配置Guacamole Web APP 安装Tomcat 9, XRDP/TigerVNC, XFCE4桌面环境，火狐浏览器一键安装配置Let’...s Encrypt安全证书，开启OCSP装订安装Nginx反代Tomcat 安装完毕后，您可以使用任意浏览器访问远程桌面，无需再使用VNC/RDP客户端 2, 安装系统需求本程序支持Ubuntu 18.04...如果安装过程中有报错，您可以检查同目录下的OneClickDesktop.log日志文件。...综上，使用OneClickDesktop一键脚本，您可以自由方便地在Linux服务器上搭建随时随地用浏览器即可访问的桌面环境，让您便捷地管理您的Linux服务器，无需再使用繁琐的命令行。...注1：添加中文支持 1, 重新配置系统locales 1 sudo dpkg-reconfigure locales 2, 安装亚洲语言包 1 2 sudo apt-get install language-pack-ja

1.9K3 0

关于接入CDN的一些实用策略

腾讯云 COS 使所有用户都能使用具备高扩展性、低成本、可靠和安全的数据存储服务。CDN+COS是一种文件存储和分发的高优方案。 Step4....•回源超时—可以调整回源连接和读取的超时时间，针对某些情况源站响应慢的场景，调大后，可大大缓解回源失败。接下来第三个建议使用的选项是配置热备源站。...•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...其他系统很少遇到，他们有使用另外的证书检查机制。最后一个想给大家推荐的选项是智能压缩，这个静态资源，一定要打开，减少流量，加快传输速度。压缩的好处不再多说。 Step5....切换解析以上工作做完，域名各项配置完成后，CDN会分配一个CNAME地址给你，需要你将加速域名DNS解析指向这个CNAME地址，你才能真正的使用CDN服务。

2.2K14 4

Nginx之OCSP stapling配置

OCSP的全称是Online Certificate Status Protocol，即在线证书状态协议。顾名思义，它是一个用于检查证书状态的协议，浏览器使用这个协议来检查证书是否被撤销。...OCSP存在隐私和性能问题。...这样解决了隐私和性能问题。检测OCSP stapling SSL Labs能够对开启HTTPS的网站的SSL配置进行全面分析，可以检测OCSP stapling的状态。...对www.fundebug.com进行检查，会发现OCSP stapling是开启的：对kiwenlau.com进行检查，会发现OCSP stapling是关闭的：配置OCSP stapling 在查询...使用公共的DNS服务，例如Google Public DNS(8.8.8.8和8.8.4.4 )，都存在安全隐患。

2.1K5 0

用好CDN

腾讯云 COS 使所有用户都能使用具备高扩展性、低成本、可靠和安全的数据存储服务。CDN+COS是一种文件存储和分发的高优方案。 Step4....•回源超时—可以调整回源连接和读取的超时时间，针对某些情况源站响应慢的场景，调大后，可大大缓解回源失败。第三个，建议使用的选项是配置热备源站。...•OCSP装订—OCSP（Online Certificate Status Protocol，在线证书状态协议）是用来检验证书合法性的在线查询服务，一般由证书所属 CA 提供。...其他系统很少遇到，他们有使用另外的证书检查机制。最后一个想给大家推荐的选项是智能压缩，这个静态资源，一定要打开，减少流量，加快传输速度。压缩的好处不再多说。...切换解析以上工作做完，域名各项配置完成后，CDN会分配一个CNAME地址给你，需要你将加速域名DNS解析指向这个CNAME地址，你才能真正的使用CDN服务。

10.9K5 1

CoAP协议学习笔记 3.2 CoAP协议翻译 DTLS加密

1 前言在 CoAP 协议 RFC7252 的第9章 Securing CoAP ，即是本译文内容。...这意味着对DTLS安全请求的响应必须始终使用相同的安全会话和时期进行DTLS安全保护。...如果CoAP节点有绝对时间源，那么节点应该检查证书的有效日期是否在范围内。必须根据安全要求验证证书，使用与[RFC5280]第6节中规定的算法等效的功能。...CoRE支持证书状态检查需要进一步研究。...“OCSP装订”）或优选多证书状态扩展（[RFC6961]）（如果可用）。

1.6K2 1

微信小程序首次请求慢 Safari浏览器访问慢 pending 10秒可能是HTTPS证书的锅

问题服务端证书使用的是 Let's Encrypt 问题的起因是IOS系统中使用微信小程序，请求服务器接口，首次请求需要等待3 ~ 10秒。导致小程序初次打开白屏。...在反复验证后，排除了Nginx、Tomcat、Java等问题。最终锁定了问题出在HTTPS证书上。最终参考了V站大佬的帖子才恍然大悟。...，测试后发现比较新的Chrome内核和Firefox内核不会进行校验，而苹果系统下的Safari 会校验，IE 未知，在IOS系统的微信小程序会校验，Android系统的微信小程序则不会...其中主域名 abc.com 和 www.abc.com 是可以共用一张证书的，按 abc.com 申请即可。...其他二级域名例如 music.abc.com 需要多次申请方案2 OCSP Stapling 这是一个曲线救国的方案，也就是在Nginx配置OCSP的校验地址，到你自己的服务器或CDN，来避免访问不通原地址

1.9K2 0

保护微服务（第一部分）

我们如何将一个容器与其他容器隔离开来，以及容器与主机操作系统之间有什么隔离级别？应用程序级安全性：我们如何验证和访问控制用户以使用微服务，以及如何保护微服务之间的沟通渠道？...在进行任何验证检查之前，令牌收件人必须首先检查JWT是否发布给他使用，如果不是，应立即拒绝。...客户端可以在本地缓存CRL，而不是为每个请求做这件事，但是这会遇到了基于陈旧数据做出安全决策的问题。当使用TLS相互认证时，服务器也必须对客户端执行相同的证书验证。...使用OCSP must stapling，服务（下游微服务）为客户端（上游微服务）提供了一个保证，将OCSP响应附加到它在TLS握手期间接收到的服务证书。...不可变的服务器的含义是 - 在持续交付流程结束时，直接从服务器加载的配置中构建服务器或容器，并且应该能够使用相同的配置一次又一次构建相同的容器。

2.5K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭