Biny

优化 Nginx 的HTTPS访问性能, 配置 OCSP Stapling

Biny 2023-07-15 00:21:53    361 次浏览

首先,推荐Firefox的一个生成 HTTPS 相关配置文件的网站:

SSL Configuration Generator:https://ssl-config.mozilla.org/

部分地区的网络对域名证书的 OSCP 服务器域名进行了 DNS 污染,用户在访问网站时,请求 OSCP 服务器的过程会导致网站访问速度变慢.下面将介绍通过配置 nginx 来预先装订 OCSP 证书,达到优化 https 访问速度的效果.

修改 nginx 域名 conf 文件

修改域名 conf 文件,在HTTPS证书信息下加入以下代码:

#OCSP stapling
 ssl_stapling on;
 ssl_stapling_verify on;

修改完成后执行 nginx -t 检查配置是否正确,如果没问题执行 systemctl reload nginx 重载 nginx 的配置.

然后使用以下命令检查是否生效:

openssl s_client -connect www.kzwr.com:443 -servername www.kzwr.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

成功生效返回的结果:

OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

未生效返回内容:

OCSP response: no response sent

配置完成后首次检查可能会显示未生效,因为 Nginx 收到首次请求会发起异步 OCSP 请求,尝试多执行几次来查询即可.

 
内容加载中