摘要:摘要正確地配置可以提高性能�。顧名思義���,它是一個(gè)用于檢查證書狀態(tài)的協(xié)議����,瀏覽器使用這個(gè)協(xié)議來檢查證書是否被撤銷�����。存在隱私和性能問題��。檢測能夠?qū)﹂_啟的網(wǎng)站的配置進(jìn)行全面分析�����,可以檢測的狀態(tài)。根據(jù)文檔��,最好使用本地服務(wù)�,可以防止欺騙。
摘要: 正確地配置OCSP stapling, 可以提高HTTPS性能���。
什么是OCSP stapling?
OCSP的全稱是Online Certificate Status Protocol���,即在線證書狀態(tài)協(xié)議。顧名思義�,它是一個(gè)用于檢查證書狀態(tài)的協(xié)議,瀏覽器使用這個(gè)協(xié)議來檢查證書是否被撤銷�����。使用Chrome瀏覽器查看https://www.fundebug.com的證書詳情�����,可以看到OCSP的查詢地址:
Fundebug使用的是Let"s Encrypt的免費(fèi)證書�,其OCSP查詢地址是http://ocsp.int-x3.letsencryp...,瀏覽器需要發(fā)送請(qǐng)求到這個(gè)地址來驗(yàn)證證書狀態(tài)。
OCSP存在隱私和性能問題���。一方面���,瀏覽器直接去請(qǐng)求第三方CA(Certificate Authority, 數(shù)字證書認(rèn)證機(jī)構(gòu)),會(huì)暴露網(wǎng)站的訪客(Let"s Encrypt會(huì)知道哪些用戶在訪問Fundebug)��;另一方面����,瀏覽器進(jìn)行OCSP查詢會(huì)降低HTTPS性能(訪問Fundebug會(huì)變慢)。
為了解決OCSP存在的2個(gè)問題�����,就有了OCSP stapling�����。由網(wǎng)站服務(wù)器去進(jìn)行OCSP查詢�,緩存查詢結(jié)果�,然后在與瀏覽器進(jìn)行TLS連接時(shí)返回給瀏覽器,這樣瀏覽器就不需要再去查詢了��。這樣解決了隱私和性能問題。
檢測OCSP stapling
SSL Labs能夠?qū)﹂_啟HTTPS的網(wǎng)站的SSL配置進(jìn)行全面分析����,可以檢測OCSP stapling的狀態(tài)。
對(duì)www.fundebug.com進(jìn)行檢查���,會(huì)發(fā)現(xiàn)OCSP stapling是開啟的:
對(duì)kiwenlau.com進(jìn)行檢查���,會(huì)發(fā)現(xiàn)OCSP stapling是關(guān)閉的:
配置OCSP stapling
在查詢Nginx日志時(shí),我發(fā)現(xiàn)了這樣的報(bào)錯(cuò)信息:
2018/02/27 02:58:11 [warn] 10#10: no resolver defined to resolve ocsp.int-x3.letsencrypt.org while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org, certificate: "/etc/letsencrypt/live/www.fundebug.com/fullchain.pem"
可知��,是resolver屬性木有配置導(dǎo)致的�����。resolver屬性用于指定DNS服務(wù)器地址, OCSP查詢地址ocsp.int-x3.letsencrypt.org需要解析為IP地址���。
根據(jù)Nginx文檔�����,最好使用本地DNS服務(wù)�,可以防止DNS欺騙(DNS spoofing)���。使用公共的DNS服務(wù)�����,例如Google Public DNS(8.8.8.8和8.8.4.4 )��,都存在安全隱患���。
To prevent DNS spoofing, it is recommended configuring DNS servers in a properly secured trusted local network.
因此���,resolver最好配置為127.0.0.1,即本地DNS服務(wù):
resolver 127.0.0.1;
由于本地并沒有DNS服務(wù)�����,因此配置resolver之后Nginx會(huì)出現(xiàn)以下報(bào)錯(cuò):
2018/02/28 15:35:47 [error] 8#8: send() failed (111: Connection refused) while resolving, resolver: 127.0.0.1:53
這時(shí)應(yīng)該在本地運(yùn)行一個(gè)DNS服務(wù)���,例如dnsmasq���。我們Fundebug所有服務(wù)包括Nginx都運(yùn)行在Docker里面��,因此dnsmasq直接運(yùn)行在Docker里面就好了����,這樣省去了安裝與配置的步驟:
sudo docker run -d --name=dnsmasq --net=host --cap-add=NET_ADMIN andyshinn/dnsmasq:2.75 --log-facility=-
Nginx的OCSP stapling完整配置如下:(此處省略了其他無關(guān)的配置選項(xiàng))
http
{
resolver 127.0.0.1;
server
{
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/www.fundebug.com/chain.pem;
}
}
參考
TLS 握手優(yōu)化詳解
從無法開啟 OCSP Stapling 說起
How To Configure OCSP Stapling on Apache and Nginx
No resolver defined to resolve ocsp.int-x3.letsen
[Nginx resolver vulnerabilities allow cache poisoning attack]()
版權(quán)聲明:
轉(zhuǎn)載時(shí)請(qǐng)注明作者Fundebug以及本文地址:
https://blog.fundebug.com/2018/03/07/nginx_ocsp_stapling/
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/39855.html
