Optimisation de l'agrafage OCSP dans le proxy inverse Nginx

Nginx est un serveur Web et un serveur proxy inverse hautes performances largement utilisé. Le serveur proxy inverse fournit des services réseau spécifiques aux clients via des proxys. Il joue un rôle essentiel dans le domaine de la sécurité du réseau. Dans le processus de proxy inverse, la gestion de la vérification du certificat SSL est une étape très importante. OCSP Stapling est un mécanisme qui optimise le protocole SSL et peut fournir une vérification du certificat SSL plus rapide et plus sécurisée. Cet article se concentrera sur la méthode d'optimisation OCSP Stapling dans le proxy inverse Nginx.

1. Présentation de l'agrafage OCSP

Avant de nous concentrer sur la méthode d'optimisation de l'agrafage OCSP dans le proxy inverse Nginx, comprenons d'abord ce qu'est l'agrafage OCSP.

Le protocole OCSP (Online Certificate Status Protocol) est un protocole de vérification de l'état des certificats, qui peut vérifier l'état de révocation des certificats SSL. Au cours du processus de négociation TLS, le client demande la vérification du certificat SSL au serveur et le protocole OCSP est utilisé pour fournir des services de vérification. Cependant, étant donné que l'accès OCSP nécessite une demande auprès de l'autorité de certification CA, ce processus peut entraîner des retards sur le réseau et des problèmes de sécurité.

OCSP Stapling transfère le processus de vérification de l'état de révocation du certificat SSL côté serveur Web plutôt que côté client. La réponse OCSP du certificat SSL est régulièrement obtenue de l'autorité de certification via le serveur Web (tel que Nginx) et stockée dans. la mémoire, puis communiquée au client. Pendant le processus d'établissement d'une connexion SSL sur le client, le serveur Web renverra également la réponse OCSP mise en cache au client. Cette méthode peut non seulement augmenter la vitesse des connexions SSL, mais également éviter le problème de sécurité lié aux requêtes du client auprès de l'autorité de certification.

2. Activer l'agrafage OCSP dans Nginx

La méthode pour activer l'agrafage OCSP dans Nginx est très simple Il vous suffit d'ajouter le code suivant à la configuration du certificat SSL :

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/ca-certs;

Voici une explication de la signification de chaque option. :

• ssl_stapling sur: activer le mécanisme d'agrafage OCSP
• ssl_stapling_verify sur: Vérifiez si la réponse OCSP est digne de confiance
• ssl_trusted_certificate: fournir une chaîne de certificat CA pour vérifier la réponse OCSP

after nginx permettent à l'OCSP d'agrafage, il initiera automatiquement la réponse OCSP

after nginx permettent à l'OCSP d'agrafer, il initiera automatiquement la réponse OCSP

after Nginx permettent à OCSP d'agraf un problème à l'autorité émettrice de chaque demande OCSP de certificat SSL et met en cache la réponse OCSP en mémoire avec une période de validité de 10 minutes. Si la période de validité de la réponse OCSP dépasse le temps de cache, la réponse OCSP sera à nouveau demandée à l'autorité émettrice. Lorsque le client établissant une connexion SSL demande une vérification, le serveur Web (tel que Nginx) renvoie la réponse OCSP mise en cache au client. Ce processus n'affectera pas la vitesse et la sécurité de la connexion SSL et peut également empêcher efficacement les attaques malveillantes.
3. Optimisation de l'agrafage OCSP

En plus d'activer l'agrafage OCSP dans Nginx, nous pouvons également effectuer certaines opérations pour optimiser davantage ses performances et sa sécurité.

Mise en cache des réponses OCSP

Nginx met en cache les réponses OCSP dans la mémoire par défaut, mais lorsque le serveur redémarre ou que le cache se remplit, OCSP Stapling demandera à nouveau la réponse OCSP à l'autorité de certification, ce qui prend du temps et de la bande passante réseau. Pour éviter cette situation, nous pouvons mettre en cache la réponse OCSP sur le disque afin que même si le serveur est redémarré, la réponse OCSP ne soit pas perdue. Il suffit d'ajouter le code suivant au fichier de configuration Nginx :

ssl_stapling_file /path/to/ocsp_response.der;

Parmi eux, /path/to/ocsp_response.der est le chemin et le nom de fichier du cache de réponse OCSP.

3. Utilisation de plusieurs certificats CA

Si nous utilisons plusieurs certificats CA pour émettre des certificats SSL, chaque autorité émettrice aura des réponses OCSP différentes. Dans ce cas, nous pouvons mettre en cache plusieurs réponses OCSP simultanément. Il suffit d'ajouter les chemins de plusieurs fichiers de réponses OCSP à la directive ssl_trusted_certificate, par exemple :

ssl_trusted_certificate /path/to/ca-certs1 /path/to/ca-certs2;

Mettre à jour les réponses OCSP plus fréquemment

Les réponses OCSP sont valables 30 jours, mais nous pouvons mettre à jour OCSP plus fréquemment. Répondre pour améliorer sécurité. Il suffit de raccourcir le temps de cache de la réponse OCSP, par exemple :

ssl_stapling_responder_timeout 5s;
ssl_stapling_verify_result on;

Parmi eux, ssl_stapling_responder_timeout est utilisé pour définir le temps de cache de la réponse OCSP, ici il est fixé à 5 secondes, et ssl_stapling_verify_result est utilisé pour vérifier le résultat de la réponse OCSP.

Mettez régulièrement à jour les réponses OCSP

Même si nous définissons le cache de réponses OCSP pour qu'il soit très court, rien ne garantit qu'il sera toujours à jour. Nous devons donc également mettre à jour régulièrement la réponse OCSP, ce qui peut être réalisé via les tâches planifiées de Nginx, par exemple :

0 * * * * /usr/sbin/nginx -s reload

🎜Cette tâche rechargera le fichier de configuration de Nginx au début de chaque heure et réactivera le mécanisme d'agrafage OCSP. 🎜🎜4. Résumé🎜🎜Le mécanisme d'agrafage OCSP du proxy inverse Nginx peut améliorer la vitesse et la sécurité des connexions SSL, tout en empêchant les attaques malveillantes. Les performances et la sécurité d'OCSP Stapling peuvent être encore optimisées en mettant en cache les réponses OCSP, en utilisant plusieurs certificats CA, en mettant à jour les réponses OCSP plus fréquemment et en mettant régulièrement à jour les réponses OCSP. Par conséquent, lors de l'utilisation du serveur proxy inverse Nginx, nous devons activer l'agrafage OCSP et effectuer les optimisations nécessaires. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!