首先,推荐Firefox的一个生成 HTTPS 相关配置文件的网站:
SSL Configuration Generator:https://ssl-config.mozilla.org/
部分地区的网络对域名证书的 OSCP 服务器域名进行了 DNS 污染,用户在访问网站时,请求 OSCP 服务器的过程会导致网站访问速度变慢.下面将介绍通过配置 nginx 来预先装订 OCSP 证书,达到优化 https 访问速度的效果.
修改 nginx 域名 conf 文件
修改域名 conf 文件,在HTTPS证书信息下加入以下代码:
#OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
修改完成后执行 nginx -t 检查配置是否正确,如果没问题执行 systemctl reload nginx 重载 nginx 的配置.
然后使用以下命令检查是否生效:
openssl s_client -connect www.kzwr.com:443 -servername www.kzwr.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
成功生效返回的结果:
OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
未生效返回内容: