如何利用Nginx ssl_stapling优化HTTPS证书校验,减少握手延迟?
- 内容介绍
- 文章标签
- 相关推荐
本文共计990个文字,预计阅读时间需要4分钟。
运行以下命令可以查看证书内容:
若无输出或显示 URI: http:// 后为空、域名不可达(如 http://ocsp.example.com 但 DNS 解析失败),stapling 就不会发起请求
- Let’s Encrypt 证书通常含
http://ocsp.int-x3.letsencrypt.org/,可用 - 自签名或私有 CA 证书默认不带 OCSP URI,需重签或手动注入(用
openssl ca -extensions v3_ocsp等) - 中间证书缺失也会导致 AIA 解析失败——
ssl_certificate必须是fullchain.pem(服务器证书 + 中间证书),不能只放域名证书
resolver 必须显式配置且能连通 OCSP 域名
Nginx 完全忽略系统/etc/resolv.conf,不配 resolver 就等于没 DNS,OCSP 查询直接超时降级。本文共计990个文字,预计阅读时间需要4分钟。
运行以下命令可以查看证书内容:
若无输出或显示 URI: http:// 后为空、域名不可达(如 http://ocsp.example.com 但 DNS 解析失败),stapling 就不会发起请求
- Let’s Encrypt 证书通常含
http://ocsp.int-x3.letsencrypt.org/,可用 - 自签名或私有 CA 证书默认不带 OCSP URI,需重签或手动注入(用
openssl ca -extensions v3_ocsp等) - 中间证书缺失也会导致 AIA 解析失败——
ssl_certificate必须是fullchain.pem(服务器证书 + 中间证书),不能只放域名证书
resolver 必须显式配置且能连通 OCSP 域名
Nginx 完全忽略系统/etc/resolv.conf,不配 resolver 就等于没 DNS,OCSP 查询直接超时降级。