设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 1565|回复: 1

kangle支持ocsp吗?iso设备访问不了Let's Encrypt 证书服务器很卡有什么解决办法吗

[复制链接]
 成长值: 252

签到天数: 4709 天

[LV.Master]伴坛终老

发表于 2021/3/23 00:24 | 显示全部楼层 |阅读模式 |Google Chrome 89.0.4389.90|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
kangle支持ocsp吗?iso设备访问不了Let's Encrypt 证书服务器很卡有什么解决办法吗

ocsp例子
http://ocsp.int-x3.letsencrypt.org/

OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 Certificate Status 消息发送给浏览器,从而让浏览器跳过自己去验证的过程而直接拿到结果,OCSP 响应本身有了签名,无法伪造,所以 OCSP Stapling 既提高了效率也不会影响安全性。另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。

这是nginx的 OCSP Stapling on选项解决办法。。

理论上有用 但是国内服务器使用OCSP没用 因为国内服务器都访问不到ocsp,自然没办法输出给用户浏览器中,所以意义不大,该选项不必开启

顺便现在letsencrypt也换了根证书解决了这个OCSP问题。

总结,kangle不支持ocsp,ocsp的重要性不大,可以让客户端去做,降低服务器负载,主流浏览器客户端都支持从客户端上发起ocsp并且缓存七天。

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 1164 天

[LV.10]以坛为家III

发表于 2021/3/24 01:08 | 显示全部楼层 |Google Chrome 89.0.4389.90|Windows 10
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/11/25 05:44 , Processed in 0.098231 second(s), 20 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表