开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

OCSP拦截本地服务器的SSL

OCSP（Online Certificate Status Protocol）是一种用于验证数字证书有效性的协议。它通过查询证书颁发机构（CA）的在线服务来检查证书是否被吊销或过期。OCSP的工作原理是客户端向OCSP服务器发送证书的序列号，OCSP服务器会返回该证书的状态（有效、吊销、未知）。

OCSP拦截本地服务器的SSL是指在本地服务器上拦截并检查SSL证书的有效性。这可以通过在服务器上部署OCSP代理来实现。当客户端与服务器建立SSL连接时，OCSP代理会拦截SSL握手过程中的证书请求，并向OCSP服务器发送查询请求，以验证证书的有效性。根据OCSP服务器的响应，OCSP代理可以决定是否允许SSL连接建立。

OCSP拦截本地服务器的SSL的优势在于增强了服务器端对证书有效性的验证，提高了安全性。通过实时查询OCSP服务器，可以及时发现被吊销的证书，避免使用无效证书导致的安全风险。

应用场景包括但不限于：

网络服务器：用于拦截并验证通过SSL/TLS协议与服务器建立连接的客户端证书的有效性。
VPN服务器：用于拦截并验证通过SSL/TLS协议与VPN服务器建立连接的客户端证书的有效性。
Web应用程序：用于拦截并验证通过SSL/TLS协议与Web服务器建立连接的客户端证书的有效性。

腾讯云提供了SSL证书服务（https://cloud.tencent.com/product/ssl-certificate），可以帮助用户获取和管理SSL证书。用户可以使用腾讯云SSL证书服务来获取有效的SSL证书，并在本地服务器上部署OCSP代理来拦截并验证证书的有效性。

请注意，本回答仅供参考，具体实施方案需根据实际需求和环境进行定制。

相关搜索:本地主机服务器的SSL/TLS证书不使用SSL进行本地存储的getUserMedia()本地开发站点上的Alamofire SSL错误如何使用SSL域运行本地.local开发服务器？为MySQL服务器上的SSL连接免除本地用户本地主机上的SSL证书不工作用于SNOM手持设备本地网络的SSL服务器证书如何修复用于Apache本地开发的SSL配置？创建用于从本地下载iOS应用的SSL本地网络 ssl服务器的作用 Firefox无法识别本地站点上的新ssl证书访问自己的服务器总是被拦截 Google App Engine Node.js本地开发服务器是否支持SSL？腾讯云服务器的ssl 适用于本地虚拟主机的Mamp-Pro SSL Angular :如何拦截服务器发送的事件请求？从本地服务器连接到heroku psql数据库-获取ssl错误在本地创建spring和nodejs应用程序之间的SSL连接免费的ssl服务器证书申请使用http拦截器和本地存储的Angular 5和Angular通用状态转移

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何查询SSL证书的OCSP服务器IP地址

不同CA签发的SSL证书的OCSP验签速度有所不同，这是因为他们的使用的不同OCSP服务器。需要了解OCSP验签服务器的访问速度，首先需要知道如何查询OCSP服务器IP地址。1....以racent.com为例，输入域名，打开网站，点击地址栏的安全锁标识。图片2. 在弹窗中点击连接是安全的。图片3. 在弹出的菜单中，点击证书有效菜单，进入证书信息详情的弹窗。图片4....查看“授权中心信息访问权限”即可获取OCSP的服务器。菜单路径：详细信息->证书字段->授权中心信息访问权限->OCSP响应程序，即可查看到OCSP的URL。图片5....运行->cmd，ping出该URL即可获取到该OCSP服务器IP地址。图片以上是国内节点ping出的锐安信SSL证书的OCSP服务器IP地址以及访问速度。...其他证书均可参照上述步骤查询OCSP服务器IP地址。

5.4K4 0

Lets Encrypt 被DNS污染导致苹果手机访问速度慢，Nginx 可以开启 OCSP 解决

说白了就是查询你的SSL证书是不是被提供商吊销了，正常访问一个网站时，浏览器要先去使用OCSP协议去查询你的证书是否有效，如果有效才进行接下来的操作；可全球这么多网站，都去验证的话OCSP服务器也扛不住......对我来说不太现实所以还是得想办法解决DNS污染的问题，给每个人都换DNS服务器不现实，那直接给服务器换DNS服务器不就行了，OCSP验证放在网站服务器上并且缓存在本地，客户端直接查询服务器缓存的结果...最好的办法就是我们人工去请求OCSP响应并保存到本地，Nginx直接加载保存好的响应信息就行了；这里我自己编写了Shell脚本去定时请求OCSP响应信息并保存到本地，利用 Nginx 的 ssl_stapling_file...指令直接读取本地响应信息，这样就不会去实时查询证书的OCSP服务器，在进行SSL握手的时候直接将本地的响应信息进行下发，极大的加快了访问速度。...8.8.8.8等国外公共服务器 二：直接修改本地Hosts，指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址这里我选择第二种，直接修改本地Hosts文件 vi /etc

2.6K4 1

Nginx开启OCSP的弊端以及优化方案

最好的办法就是我们人工去请求OCSP响应并保存到本地，Nginx直接加载保存好的响应信息就行了；这里我自己编写了Shell脚本去定时请求OCSP响应信息并保存到本地，利用 Nginx 的 ssl_stapling_file...指令直接读取本地响应信息，这样就不会去实时查询证书的OCSP服务器，在进行SSL握手的时候直接将本地的响应信息进行下发，极大的加快了访问速度。...开始优化 1.更改服务器DNS解析服务器 由于Let's Encrypt证书DNS解析被污染，在服务器上也是无法直接访问Let's Encrypt的OCSP验证域名的，解决访问有两个一：我们更改服务器的...DNS解析服务器为8.8.8.8等国外公共服务器 二：直接修改本地Hosts，指定OCSP域名ocsp.int-x3.letsencrypt.org的IP地址这里我选择第二种，直接修改本地Hosts文件...配置就比上边的方式要简单许多了 ssl_stapling on; ssl_stapling_verify on; //OCSP响应文件地址 ssl_stapling_file /xxx/xxx/xxx/

3.2K3 0

ssl服务器原理,SSL的工作原理

原标题：SSL的工作原理 SSL的工作原理中包含如下三个协议： 1、握手协议握手协议是客户端和服务器用于与SSL连接通信的第一个子协议。握手协议包括客户端和服务器之间的一系列消息。...SSL中最复杂的协议是握手协议。该协议允许服务器和客户端相互进行身份验证，协商加密和MAC算法，以及保密SSL密钥以保护SSL记录中发送的数据。在应用程序的数据传输之前使用握手协议。...2、记录协议在客户端和服务器握手成功之后使用记录协议，即客户端和服务器相互认证并确定安全信息交换使用的算法，并输入SSL记录协议，该协议为SSL提供两种服务连接： (1)保密性：使用握手协议定义的秘密密钥实现...证书的工作流程 1、用户连接到你的Web站点，该Web站点受服务器证书所保护。(可由查看 URL的开头是否为”https:”来进行辩识，或浏览器会提供你相关的信息)。...2、你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。 3、用户的网页浏览器程序产生一把唯一的“会话钥匙码，用以跟网站之间所有的通讯过程进行加密。

1.3K2 0

Nginx之OCSP stapling配置

为了解决OCSP存在的2个问题，就有了OCSP stapling。由网站服务器去进行OCSP查询，缓存查询结果，然后在与浏览器进行TLS连接时返回给浏览器，这样浏览器就不需要再去查询了。...检测OCSP stapling SSL Labs能够对开启HTTPS的网站的SSL配置进行全面分析，可以检测OCSP stapling的状态。...resolver属性用于指定DNS服务器地址, OCSP查询地址ocsp.int-x3.letsencrypt.org需要解析为IP地址。...因此，resolver最好配置为127.0.0.1，即本地DNS服务： resolver 127.0.0.1; 由于本地并没有DNS服务，因此配置resolver之后Nginx会出现以下报错： 2018...：(此处省略了其他无关的配置选项) http{ resolver 127.0.0.1; server { ssl_stapling on; ssl_stapling_verify

2.1K5 0

https 是否真的安全,https攻击该如何防护,https可以被抓包吗？如何防止呢?

它是一种标准协议，用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。SSL证书就是遵守SSL协议，由受信任的CA机构颁发的数字证书。...HTTPS 使用了 SSL 加密协议，是一种非常安全的机制，目前并没有方法直接对这个协议进行攻击，一般都是在建立 SSL 连接时，拦截客户端的请求，利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥...本地请求被劫持（如DNS劫持等），所有请求均发送到中间人的服务器2. 中间人服务器返回中间人自己的证书3....通过CRL（Certificate Revocation List 证书注销列表）和 OCSP（Online Certificate Status Protocol 在线证书状态协议）实现，其中 OCSP...既然问题出在证书信任问题上，那么解决方法就是在我们的APP中预置证书。在TLS/SSL握手时，用预置在本地的证书中的公钥校验服务器的数字签名，只有签名通过才能成功握手。

6261 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

在这里我们进行本地演示，就直接生成证书好了。...ssl_ocsp_cache 为 OCSP 验证设置存储客户端证书状态的缓存的名称和大小。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ，要使 OCSP 装订工作，应该知道服务器证书颁发者的证书。...对于 OCSP 响应程序主机名的解析，还应指定解析器指令。 ssl_stapling_file 设置后，将从指定文件中获取装订的 OCSP 响应，而不是查询服务器证书中指定的 OCSP 响应者。...ssl_stapling_responder url; 仅支持“http://”OCSP 响应。 ssl_stapling_verify 启用或禁用服务器对 OCSP 响应的验证。

1.1K2 0

nginx优化https（ocsp）

在线证书状态协议（OCSP）克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求。...服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期，这样他们就可以在更新以前的一段时间内继续访问服务器。...ocsp比crl方式更加高效，但ocsp也存在一些问题，实时查询证书会给客户端带来一定性能影响，另一方面需要访问ca提供的第三方中心话验证服务器，如果这个第三方验证服务出现问题，或被攻击，将会导致ocsp...服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求。...，OCSP信息响应适用的证书 ssl_trusted_certificate /path/to/xxx.pem;#选项应指向CA的根证书 resolver 8.8.8.8

1.2K2 1

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

虽然解决了CRL的两大难题，但OCSP也有一些弊端：证书机构需要实时处理来自世界各地的OCSP查询（OCSP Request），这对证书机构用于负责OSCP查询的服务器高可用性是一种挑战；如果OCSP请求没有得到成功...2）OCSP预装订为了解决OCSP弊端，OCSP可以装订在Web服务器上，此时客户端直接向Web服务器发送OCSP Request，再由Web服务器统一去请求证书机构的OCSP服务器，并将结果缓存下来。...1.client向Web服务器发起TLS握手请求；2.Web服务器响应TLS握手（返回证书）；3.client向CA证书颁发机构的OCSP服务器发起OCSP查询；4.CA证书颁发机构的OCSP服务器向client...：顺便说下，Nginx可以在配置文件中启用OCSP装订，增加以下两行配置：ssl_stapling on;ssl_stapling_verify on;4）检测证书颁发机构的OCSP/CRL服务器这项功能其实属于下面要讲的参数...五、总结sslscan作为业内一款强大的证书扫描工具，能够帮助我们检测 SSL/TLS 证书的版本信息、cipher套件、密钥交换组、证书颁发机构、OCSP服务器、证书有效期等等，对于确保网络安全和数据保护至关重要

Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

进行抓包，发现使用IE打开网站的时候，会去请求ocsp.int-x3.letsencrypt.org域名进行证书验证，该域名无法访问从而导致访问速度变慢； 12.png 所以问题就出在SSL证书上面，我使用的证书全部是...13.png Nginx OCSP stapling 由网站服务器去进行OCSP查询，缓存查询结果，然后在与浏览器进行TLS连接时返回给浏览器，这样浏览器就不需要再去查询了。...stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： # 开启 OCSP Stapling，开启后服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构...（CA）发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书，我的Let's Encrypt.../ffis.me_ca.cer; # 添加resolver解析OSCP响应服务器的主机名，valid表示缓存。

2.4K4 0

nginx优化指南

和客户端缓存不同，nginx代理缓存是存储在nginx服务器的本地磁盘里面的。...弱密码套件和过时的密码套件配置可能会给你的网站带来安全隐患，并使其容易受到攻击。如果你使用这些密码套件，攻击者可能会拦截或修改传输中的数据。 .../ssl/dhparam.pem; 2.12.1.4 ocsp stapling验证优化在客户端请求https网站的时候，需要对CA中间商的证书的有效性进行验证。...通过nginx的ocsp stapling机制，nginx会去CA服务器进行ocsp查询并缓存结果，客户端在进行TLS连接握手的时候nginx就会把缓存的结果响应给客户端，避免客户端自己去请求验证。...下面是nginx开启ocsp stapling功能的配置，举例如下： # 开启 OCSP Stapling ssl_stapling on; # 启用nginx对OCSP响应的验证 ssl_stapling_verify

7681 0

使用mkcert工具生成受信任的本地SSL证书

使用mkcert工具生成受信任的本地SSL证书官方文档：https://github.com/FiloSottile/mkcert#mkcert 参考文章链接：本地https快速解决方案——mkcert...mkcert 是一个简单的工具，用于制作本地信任的开发证书。不需要配置。...证书加入本地可信CA，使用此命令，就能帮助我们将mkcert使用的根证书加入了本地可信CA中，以后由该CA签发的证书在本地都是可信的。...生成SSL自签证书签发本地访问的证书直接跟多个要签发的域名或ip，比如签发一个仅本机访问的证书(可以通过127.0.0.1和localhost，以及ipv6地址::1访问) mkcert-v1.4.3...生成的SSL证书存放在当前运行目录下其中192.168.2.25.pem为公钥，192.168.2.25-key.pem为私钥将公钥.pem格式改为.crt格式安装证书

4.5K3 1

Nginx 配置 OCSP Stapling 优化 HTTPS 访问

由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题....response" # 将命令中 www.yourdomain.com 改为你的域名未生效结果 OCSP response: no response sent [avatar]...成功生效结果 OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type...: Basic OCSP Response [avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可....ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /usr/local/nginx/conf/ssl/www.yourdomain.com.crt

9504 0

NGINX 配置SSL 支持

通过NGINX配置www.ewhisper.cn全站SSL加持, 启用高级别ssl配置, 启用HSTS, OCSP等高级功能....(特别要注意, 如果有的站内css, js等没有用https就尴尬了, 会被各类浏览器拦截掉, 并提示"不安全的脚本") 网站有用到的第三方工具(如拨测), 把网站的地址改为 https开头的....# (比如你的证书过期忘记续了, 那么用户想转到http都没办法) ssl_stapling on; # 启用ssl OCSP stapling功能, 服务端主动查询...OCSP结果, 提高TLS效率 ssl_stapling_verify on; # 开启OCSP stapling 验证 # Load configuration files...(比如你的证书过期忘记续了, 那么用户想转到HTTP都没办法) ssl_stapling on; 启用ssl OCSP stapling功能, 服务端主动查询OCSP结果, 提高TLS握手效率 /etc

2.1K2 0

HTTPS 优化总结

OCSP Stapling OCSP Stapling 是什么 OCSP (Online Certificate Status Protocol) 通常是 CA 提供来实时验证证书是否合法有效的。...客户端就可以根据证书中的 OCSP 信息，发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于，对 CA 机构的验证接口高可用性有要求，增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议的进一步升级。服务器事先模拟浏览器对证书链进行验证，然后将 OCSP 验证结果缓存到本地。...Nginx 中开启 OCSP Stapling ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/certs...服务器在初始握手期间向客户端发送 Session ticket 以便本地存储。当重用 session 时，客户端会将 Session ticket 发送回服务器交给服务器进行解密，然后恢复会话。

7392 1

网站 HTTPS 优化

同时这个 28 毫秒其实是非常乐观的假设，在国内电信、联通和移动以及各种复杂的网络状况下，用户与服务器之间的延迟更不可控。...如果不启用 OCSP Stapling 的话，在用户连接你的服务器的时候，有时候需要去验证证书。...在 Nginx 中启用 OCSP Stapling 也非常简单，只需要设置： ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate...因此如果你的服务是 REST API 或者网站的话，将这个值调小可以减小延迟和 TTFB，但如果你的服务器是用来传输大文件的，那么可以维持 16k。...ssl_certificate_key /etc/nginx/YOUR_KEY.pem; # OCSP ssl_stapling on;

9061 0

HTTPS 基本原理和配置 - 2

1.2 NGINX 配置证书链和私钥所以，当你在 NGINX 中设置你的服务器部分时，ssl_certificate 就是你的证书链。这是你的证书加上所有的信任链一直到根证书。...1.5 其他我提到过你如何协商你选择的密码; 你可以选择客户端的选择或服务器的选择。最好选择服务器的选择。这里有一个指令: ssl_prefer_server_ciphers——始终打开它。...1.6 同一证书多域如果你有多个站点，并且它们使用相同的证书，那么你实际上可以分解 HTTP 定义。你可以在顶层使用 SSL 证书，在底层使用不同的服务器。...因此，OCSP 装订允许服务器获取证书未过期的证明。在后台，获取这个表示「是的，证书是好的」的 OCSP 响应，然后将它放入握手中。这样客户端就不需要实际接触 CA 并获取它。 5.2 会快多少？...完成 SSL 握手（1270ms）配置了 OCSP Stapling，上文的 5-9 步可以省略，这可以节省约 30% 的访问一个 HTTPS 网站的连接时间。

7803 0

保护微服务（第一部分）

服务之间的交互是本地调用，所有服务都可以共享用户的登录状态，每个服务（或组件）都不需要对用户进行身份验证。身份验证将在拦截所有服务调用的拦截器中集中完成。...这个servlet过滤器将拦截所有到达它注册的上下文的请求，并执行认证。...在微服务领域，这些服务的作用域和部署是在分布式的多个容器中。服务交互不再是本地的，而是远程的，大多数是通过HTTP交互。下图显示了多个微服务之间的交互。...客户端可以在本地缓存CRL，而不是为每个请求做这件事，但是这会遇到了基于陈旧数据做出安全决策的问题。当使用TLS相互认证时，服务器也必须对客户端执行相同的证书验证。...TLS客户端可以检查特定证书的状态，而无需从证书颁发机构下载完整的撤销证书列表，换言之，每次客户端与新的下游微服务对话时，它都必须与相应的OCSP响应者通信以验证服务器（或服务）证书的状态 - 并且服务器必须对客户端证书执行相同的操作

2.5K5 0

揭秘EdgeOne:WordPress网站安全加速

实现强制HTTPS的步骤获取SSL证书：这是开启安全通信的第一步，就像获取一把钥匙。 服务器配置：将SSL证书安装在服务器上，并确保所有通过HTTP的请求都被重定向到HTTPS。...OCSP 装订 OCSP装订的作用 OCSP装订是一种可以提高网站访问速度的技术，它允许服务器直接获取证书状态信息，而不需要用户每次访问都去查询。...OCSP装订的优势提高效率：减少了用户等待证书验证的时间，使网站访问更快。减轻服务器负担：服务器可以缓存OCSP响应，减少了对证书颁发机构的请求。...配置OCSP装订的步骤启用OCSP装订：在服务器或CDN设置中启用OCSP装订功能。配置证书：确保你的SSL证书支持OCSP，并正确配置了OCSP响应。...强制HTTPS、合理的SSL/TLS配置、以及OCSP装订都是提升网站安全性和性能的重要步骤。

57415 1

网站 HTTPS 优化

[在传输数据前数据已经跑了好几个来回 roundtrip] 可以看到，在你的用户拿到他需要的数据前，底层的数据包就已经在用户和你的服务器之间跑了 3 个来回。...同时这个 28 毫秒其实是非常乐观的假设，在国内电信、联通和移动以及各种复杂的网络状况下，用户与服务器之间的延迟更不可控。...如果不启用 OCSP Stapling 的话，在用户连接你的服务器的时候，有时候需要去验证证书。...在 Nginx 中启用 OCSP Stapling 也非常简单，只需要设置： ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate...因此如果你的服务是 REST API 或者网站的话，将这个值调小可以减小延迟和 TTFB，但如果你的服务器是用来传输大文件的，那么可以维持 16k。

8103 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭