Nginx est un serveur Web et un serveur proxy inverse hautes performances largement utilisé. Le serveur proxy inverse fournit des services réseau spécifiques aux clients via des proxys. Il joue un rôle essentiel dans le domaine de la sécurité du réseau. Dans le processus de proxy inverse, la gestion de la vérification du certificat SSL est une étape très importante. OCSP Stapling est un mécanisme qui optimise le protocole SSL et peut fournir une vérification du certificat SSL plus rapide et plus sécurisée. Cet article se concentrera sur la méthode d'optimisation OCSP Stapling dans le proxy inverse Nginx.
1. Présentation de l'agrafage OCSP
Avant de nous concentrer sur la méthode d'optimisation de l'agrafage OCSP dans le proxy inverse Nginx, comprenons d'abord ce qu'est l'agrafage OCSP.
Le protocole OCSP (Online Certificate Status Protocol) est un protocole de vérification de l'état des certificats, qui peut vérifier l'état de révocation des certificats SSL. Au cours du processus de négociation TLS, le client demande la vérification du certificat SSL au serveur et le protocole OCSP est utilisé pour fournir des services de vérification. Cependant, étant donné que l'accès OCSP nécessite une demande auprès de l'autorité de certification CA, ce processus peut entraîner des retards sur le réseau et des problèmes de sécurité.
OCSP Stapling transfère le processus de vérification de l'état de révocation du certificat SSL côté serveur Web plutôt que côté client. La réponse OCSP du certificat SSL est régulièrement obtenue de l'autorité de certification via le serveur Web (tel que Nginx) et stockée dans. la mémoire, puis communiquée au client. Pendant le processus d'établissement d'une connexion SSL sur le client, le serveur Web renverra également la réponse OCSP mise en cache au client. Cette méthode peut non seulement augmenter la vitesse des connexions SSL, mais également éviter le problème de sécurité lié aux requêtes du client auprès de l'autorité de certification.
2. Activer l'agrafage OCSP dans Nginx
La méthode pour activer l'agrafage OCSP dans Nginx est très simple Il vous suffit d'ajouter le code suivant à la configuration du certificat SSL :
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/ca-certs;
Voici une explication de la signification de chaque option. :
after nginx permettent à l'OCSP d'agrafage, il initiera automatiquement la réponse OCSP
after nginx permettent à l'OCSP d'agrafer, il initiera automatiquement la réponse OCSPEn plus d'activer l'agrafage OCSP dans Nginx, nous pouvons également effectuer certaines opérations pour optimiser davantage ses performances et sa sécurité.
Mise en cache des réponses OCSPssl_stapling_file /path/to/ocsp_response.der;
Parmi eux, /path/to/ocsp_response.der est le chemin et le nom de fichier du cache de réponse OCSP.
Si nous utilisons plusieurs certificats CA pour émettre des certificats SSL, chaque autorité émettrice aura des réponses OCSP différentes. Dans ce cas, nous pouvons mettre en cache plusieurs réponses OCSP simultanément. Il suffit d'ajouter les chemins de plusieurs fichiers de réponses OCSP à la directive ssl_trusted_certificate, par exemple :
ssl_trusted_certificate /path/to/ca-certs1 /path/to/ca-certs2;
ssl_stapling_responder_timeout 5s; ssl_stapling_verify_result on;
Parmi eux, ssl_stapling_responder_timeout est utilisé pour définir le temps de cache de la réponse OCSP, ici il est fixé à 5 secondes, et ssl_stapling_verify_result est utilisé pour vérifier le résultat de la réponse OCSP.
Mettez régulièrement à jour les réponses OCSPMême si nous définissons le cache de réponses OCSP pour qu'il soit très court, rien ne garantit qu'il sera toujours à jour. Nous devons donc également mettre à jour régulièrement la réponse OCSP, ce qui peut être réalisé via les tâches planifiées de Nginx, par exemple :
0 * * * * /usr/sbin/nginx -s reload
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!