腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

综合排序丨最热优先丨最新优先

宝塔开启OCSP

MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING” 搞得我特别懵逼，我用谷歌、QQ、Edge等浏览器都没出现这样的问题，后来了解了一下才知道火狐要求OCSP 装订（但我有几个网站也没开启OCSP过，一样可以用火狐，咱也不知道也不敢问）在Nginx配置文件加上 #开启OCSP ssl_stapling on; ssl_stapling_verify on;

2023-04-13

6970

标签:

个人博客网站页面优化，开启OCSP装订（OCSP Stapling）

其实就是可以加速网站访问，尤其对于OCSP服务器遭受DNS污染（尤指之前Let's Encrypt证书服务器被污染），或者OCSP服务器在境外的网站。 OCSP装订这种攻击促使CA和浏览器供应商引入SSL证书的扩展，该扩展在 RFC 7633，俗称 OCSP 必须装订（尽管RFC本身没有提及此名称，这可能会引起一些混淆。）这只是要求对证书进行OCSP装订。如果浏览器遇到带有此扩展名的证书而未使用OCSP装订，则将被拒绝。 OCSP Must-Staple可以缓解上述降级攻击，还可以减少流向CA的OCSP响应程序的不必要的流量，这也可以帮助提高OCSP的整体性能。在服务器中启用OCSP装订为了节省您查找的麻烦，以下各节包含有关如何在您的计算机中启用OCSP装订的说明。

2022-09-30

1.6K0

标签:

内容分发网络 CDN

Nginx之OCSP stapling配置

摘要：正确地配置OCSP stapling, 可以提高HTTPS性能。什么是OCSP stapling? OCSP存在隐私和性能问题。为了解决OCSP存在的2个问题，就有了OCSP stapling。由网站服务器去进行OCSP查询，缓存查询结果，然后在与浏览器进行TLS连接时返回给浏览器，这样浏览器就不需要再去查询了。检测OCSP stapling SSL Labs能够对开启HTTPS的网站的SSL配置进行全面分析，可以检测OCSP stapling的状态。对www.fundebug.com进行检查，会发现OCSP stapling是开启的：对kiwenlau.com进行检查，会发现OCSP stapling是关闭的：配置OCSP stapling 在查询

2018-06-28

2.4K0

标签:

nginx优化https（ocsp）

在线证书状态协议（ocsp），其OCSP查询地址是http://ocsp.int-x3.letsencryp...，浏览器需要发送请求到这个地址来验证证书状态。 ocsp比crl方式更加高效，但ocsp也存在一些问题，实时查询证书会给客户端带来一定性能影响，另一方面需要访问ca提供的第三方中心话验证服务器，如果这个第三方验证服务出现问题，或被攻击，将会导致ocsp 这里我们推荐更先进的OCSP stapling。什么是OCSP stapling？正式名称为TLS证书状态查询扩展，可代替在线证书状态协议（OCSP）来查询X.509证书的状态。 Nginx 配置 OCSP stapling 我使用的环境如下： CentOS/7.7.x NginX /1.12.x # 它从 1.3.7+ 开始支持OCSP stapling特性。 /dev/null 2>&1 | grep -i "OCSP response" 开启结果为： OCSP response: OCSP Response Data: OCSP Response

2025-08-14

1.7K0

标签:

Oneinstack 手动修复 OpenSSL OCSP

目前 “Oneinstack”、“LNMP 一键包” 默认的 OpenSSL 版本都不是最新版，修复此漏洞需要重新编译。

2022-12-20

6770

标签:

Windows IIS OCSP的开启和检测

腾讯云所有Windows未下线镜像对应的IIS版本都支持OCSP（系统≥server2008或≥Vista）双击导入这个注册表项即可开启OCSP 这是我在https://freessl.cn/ 申请的免费证书接入了腾讯云CDN，目前腾讯云CDN支持tls1.0/1.1/1.2 用以下3条命令验证是否开启了OCSP，出现“OCSP response: no response sent”的概率较高，但也有成功的时候 -c 100 > ping.info 20%的丢包率，国外的，可以理解 OCSP服务器被限制访问或OCSP服务器访问慢，会导致https访问慢。由于大多数全球权威CA的OCSP站点都设在国外，当网络环境较差、出现网络故障以及遇到特殊时期网络封锁，客户端无法连接到OCSP站点，或者OCSP站点无法返回证书状态内容，导致HTTPS请求可能还没到多次握手阶段综上，开启OCSP要谨慎。另外，有个在线检测OCSP的工具挺方便的：https://crt.sh/ 输入域名点查询，然后点ID进去能看到一个check按钮，变成Good说明开启OCSP了

Windows技术交流

2024-01-17

2.9K0

标签:

Nginx 配置 OCSP Stapling 优化 HTTPS 访问

由于国内 VPS 服务器访问 OCSP 服务器可能会被污染而导致失败,所以添加resolver来解决此问题. :443 -servername www.yourdomain.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" # 将命令中 www.yourdomain.com 改为你的域名未生效结果 OCSP response: no response sent [avatar] 成功生效结果 OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type : Basic OCSP Response [avatar] 配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可.

2021-07-20

1.3K0

标签:

容器镜像服务

Nginx开启OCSP的弊端以及优化方案

正文一、弊端此方式实现了OCSP查询在服务器端进行，避免了浏览器去进行OCSP验证从而影响访问速度；但是OCSP响应的缓存并不是预加载的，而是异步加载的；在Nginx启动后，只有当有客户端访问的时候，Nginx才开始去请求OCSP响应并缓存到本地，并且当OCSP响应缓存过期的时候并不会去主动更新，而是等待客户端访问异步触发的更新；这样就会导致总会有几次访问并没有走OCSP响应缓存从而导致还是会有访问速度缓慢的情况发生 /$SITE.ocsp-reply.txt # 输出到日志文件 cat $OUTDIR/$SITE.ocsp-reply.txt >> $LOGFILE # 记录最后一次OCSP请求结果 mv $OUTDIR /getOCSP.sh abc.com //PS:后边的参数为需要获取OCSP响应的域名运行后就会在指定的目录生成OCSP响应文件了 112.png 4.Nginx读取OCSP响应文件这时的Nginx OCSP缓存虽然我们本地预加载了OCSP响应缓存，但是OCSP响应也是有生效时间了，超过有效时间就得重新获取，这里我们可以配置crontab定时任务去每日自动刷新OCSP响应缓存 //编辑crontab

2022-04-24

3.7K1

标签:

SSL证书中OCSP装订原理与实现

什么是ocsp装订它允许Web服务器查询OCSP响应器（即监听OCSP请求的证书颁发机构服务器），并将响应结果缓存起来。 OCSP Stapling是如何工作的OCSP Stapling是一种更有效的处理证书信息验证的方法。它不是对每个证书验证请求都向CA的服务器发出请求，而是允许Web服务器直接定期查询OCSP响应器并缓存响应。如何在您的服务器上启用OCSP Stapling现在大多数现代浏览器都支持OCSP Stapling。在协议详情部分，您将看到OCSP Stapling字段，这将指示您的服务器上是否启用了OCSP Stapling。或者，您可以使用命令行来检查OCSP Stapling是否启用。

信查查加密保SSL

2025-08-21

4100

标签:

OCSP请求响应ASN.1编码注释

OCSP请求： OCSPRequest ::= SEQUENCE { tbsRequest TBSRequest, --待签名请求 issuerKeyHash OCTET STRING, -- 证书颁发者公钥的Hash serialNumber CertificateSerialNumber } --证书序列号OCSP 响应： OCSPResponse ::= SEQUENCE { responseStatus OCSPResponseStatus, --OCSP响应状态 responseBytes

2023-10-19

6430

标签: