小樱 发表于 2021/3/23 00:24

kangle支持ocsp吗?iso设备访问不了Let's Encrypt 证书服务器很卡有什么解决办法吗

kangle支持ocsp吗?iso设备访问不了Let's Encrypt 证书服务器很卡有什么解决办法吗

ocsp例子
http://ocsp.int-x3.letsencrypt.org/

OCSP Stapling 就是为了解决 OCSP 性能问题而生的,其原理是:在 SSL 握手时,服务器去证书 CA 查询 OCSP 接口,并将 OCSP 查询结果通过 Certificate Status 消息发送给浏览器,从而让浏览器跳过自己去验证的过程而直接拿到结果,OCSP 响应本身有了签名,无法伪造,所以 OCSP Stapling 既提高了效率也不会影响安全性。另外服务器有更好的网络,能更快地获取到 OCSP 结果,同时也可以将结果缓存起来,极大的提高了性能、效率和用户体验。

这是nginx的 OCSP Stapling on选项解决办法。。

理论上有用 但是国内服务器使用OCSP没用 因为国内服务器都访问不到ocsp,自然没办法输出给用户浏览器中,所以意义不大,该选项不必开启

顺便现在letsencrypt也换了根证书解决了这个OCSP问题。

总结,kangle不支持ocsp,ocsp的重要性不大,可以让客户端去做,降低服务器负载,主流浏览器客户端都支持从客户端上发起ocsp并且缓存七天。

不可名 发表于 2021/3/24 01:08

{:3030:}
页: [1]
查看完整版本: kangle支持ocsp吗?iso设备访问不了Let's Encrypt 证书服务器很卡有什么解决办法吗