Pengoptimuman Stapling OCSP dalam proksi terbalik Nginx

Nginx ialah pelayan web berprestasi tinggi dan pelayan proksi terbalik yang digunakan secara meluas Pelayan proksi terbalik menyediakan perkhidmatan rangkaian khusus kepada pelanggan melalui proksi Ia memainkan peranan penting dalam bidang keselamatan rangkaian. Dalam proses proksi terbalik, pengendalian pengesahan sijil SSL adalah langkah yang sangat penting. OCSP Stapling ialah mekanisme yang mengoptimumkan protokol SSL dan boleh memberikan pengesahan sijil SSL yang lebih pantas dan selamat. Artikel ini akan menumpukan pada kaedah pengoptimuman OCSP Stapling dalam proksi terbalik Nginx.

1. Gambaran Keseluruhan OCSP Stapling

Sebelum memfokus pada kaedah pengoptimuman OCSP Stapling dalam proksi terbalik Nginx, mari kita fahami dahulu apa itu OCSP Stapling.

Protokol OCSP (Online Certificate Status Protocol) ialah protokol untuk semakan status sijil, yang boleh menyemak status pembatalan sijil SSL. Semasa proses jabat tangan TLS, pelanggan akan meminta pelayan untuk pengesahan sijil SSL dan protokol OCSP digunakan untuk menyediakan perkhidmatan pengesahan. Walau bagaimanapun, memandangkan akses OCSP memerlukan permintaan kepada pihak berkuasa sijil CA, proses ini boleh menyebabkan kelewatan rangkaian dan isu keselamatan.

OCSP Stapling memindahkan proses menyemak status pembatalan sijil SSL ke bahagian pelayan web dan bukannya bahagian klien Respons OCSP sijil SSL diperoleh secara berkala daripada CA melalui pelayan web (seperti Nginx ) dan disimpan dalam ingatan Kemudian semasa proses mewujudkan sambungan SSL dengan klien, pelayan web akan mengembalikan respons OCSP yang dicache kepada klien. Kaedah ini bukan sahaja boleh meningkatkan kelajuan sambungan SSL, tetapi juga mengelakkan isu keselamatan pelanggan yang membuat permintaan kepada CA.

2. Dayakan OCSP Stapling dalam Nginx

Kaedah untuk mendayakan OCSP Stapling dalam Nginx Anda hanya perlu menambah kod berikut pada konfigurasi sijil SSL:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/ca-certs;

Diterangkan di sini Mari kita lihat maksud setiap pilihan:

• ssl_stapling on: Dayakan mekanisme OCSP Stapling
• ssl_stapling_verify on: Sahkan sama ada respons OCSP dipercayai
• ssl_trusted_certificate: Sediakan rantai sijil CA , digunakan untuk mengesahkan respons OCSP

Selepas Nginx mendayakan OCSP Stapling, ia akan secara automatik memulakan permintaan OCSP kepada pihak berkuasa yang mengeluarkan setiap sijil SSL dan cache OCSP tindak balas ke dalam ingatan, dengan tempoh sah selama 10 minit. Jika tempoh sah respons OCSP melebihi masa cache, respons OCSP akan diminta semula daripada pihak berkuasa yang mengeluarkan. Apabila pelanggan yang membuat sambungan SSL meminta pengesahan, pelayan web (seperti Nginx) akan mengembalikan respons OCSP yang dicache kepada pelanggan Proses ini tidak akan menjejaskan kelajuan dan keselamatan sambungan SSL, dan juga boleh menghalang serangan berniat jahat dengan berkesan.

3. Pengoptimuman OCSP Stapling

Selain mendayakan OCSP Stapling dalam Nginx, kami juga boleh melakukan beberapa operasi untuk mengoptimumkan lagi prestasi dan keselamatannya.

1. Cache OCSP response

Nginx cache OCSP response ke dalam memori secara lalai, tetapi apabila pelayan dimulakan semula atau cache diisi, OCSP Stapling akan meminta semula respons OCSP daripada CA , yang memerlukan masa dan lebar jalur rangkaian. Untuk mengelakkan situasi ini, kita boleh cache respons OCSP ke cakera supaya walaupun pelayan dimulakan semula, respons OCSP tidak akan hilang. Kami hanya perlu menambah kod berikut pada fail konfigurasi Nginx:

ssl_stapling_file /path/to/ocsp_response.der;

Antaranya, /path/to/ocsp_response.der ialah laluan dan nama fail cache respons OCSP.

2. Menggunakan berbilang sijil CA

Jika kami menggunakan berbilang sijil CA untuk mengeluarkan sijil SSL, maka setiap pihak berkuasa yang mengeluarkan akan mempunyai respons OCSP yang berbeza. Dalam kes ini, kita boleh cache berbilang respons OCSP secara serentak. Kami hanya perlu menambah laluan berbilang fail respons OCSP pada arahan ssl_trusted_certificate, sebagai contoh:

ssl_trusted_certificate /path/to/ca-certs1 /path/to/ca-certs2;

3. Kemas kini respons OCSP dengan lebih kerap

Tempoh sah respons OCSP ialah 30 hari, tetapi kami boleh mengemas kini respons OCSP dengan lebih kerap untuk meningkatkan keselamatan. Kita hanya perlu menetapkan masa cache bagi respons OCSP dengan lebih pendek, contohnya:

ssl_stapling_responder_timeout 5s;
ssl_stapling_verify_result on;

Antaranya, ssl_stapling_responder_timeout digunakan untuk menetapkan masa cache bagi respons OCSP, di sini ia ditetapkan kepada 5 saat, dan ssl_stapling_verify_result digunakan untuk mengesahkan keputusan respons OCSP.

4. Kemas kini respons OCSP dengan kerap

Walaupun kami menetapkan cache respons OCSP menjadi sangat pendek, tidak ada jaminan bahawa ia akan sentiasa dikemas kini. Oleh itu, kami juga perlu mengemas kini respons OCSP secara kerap, yang boleh dicapai melalui tugasan berjadual Nginx, contohnya:

0 * * * * /usr/sbin/nginx -s reload

Tugas ini akan memuatkan semula fail konfigurasi Nginx pada awal setiap jam dan mendayakan semula OCSP Stapling mekanisme.

4. Ringkasan

Mekanisme Stapel OCSP dalam proksi terbalik Nginx boleh meningkatkan kelajuan dan keselamatan sambungan SSL, di samping menghalang serangan berniat jahat. Prestasi dan keselamatan OCSP Stapling boleh dioptimumkan lagi dengan menyimpan cache respons OCSP, menggunakan berbilang sijil CA, mengemas kini respons OCSP dengan lebih kerap dan mengemas kini respons OCSP dengan kerap. Oleh itu, apabila menggunakan pelayan proksi terbalik Nginx, kita harus mendayakan OCSP Stapling dan melakukan pengoptimuman yang diperlukan.

Atas ialah kandungan terperinci Pengoptimuman Stapling OCSP dalam proksi terbalik Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!