Aktivieren Sie OCSP, um die Effizienz der https-Zertifikatsüberprüfung zu verbessern und das Problem des langsamen Zugriffs auf Let’s Encrypt SSL-Zertifikate zu lösen

In den letzten Tagen war der Zugriff auf die Website beim ersten Öffnen sehr langsam, danach öffnete sich die Seite jedoch normal. Nach Recherchen stellte sich heraus, dass das Problem das Timeout bei der HTTPS-Zertifikatsüberprüfung war und die Überprüfungs-URL des Zertifikatsanbieters nicht aufgerufen werden konnte. Ich weiß nicht, ob es ein Leitungsproblem oder eine Firewall war.

Ich habe mehrere Experten gefragt, wie sich das Problem des Timeouts bei der HTTPS-Zertifikatsüberprüfung lösen lässt. Die Lösungen waren, entweder den Zertifikatsanbieter zu ändern oder OCSP zu aktivieren.

Wie kann sich ein armer Mensch wie ich das HTTPS-Zertifikat eines großen Unternehmens leisten? Mir bleibt nur die zweite Lösung und ich kann OCSP starten.

Wenn eine Website ein kostenloses Let's Encrypt-Zertifikat bereitgestellt hat, erscheint sie beim ersten Öffnen der Website über https sehr langsam und benötigt oft vier oder fünf Sekunden, um normal geöffnet zu werden. Dies hat besondere Gründe: Die Server-IP von ocsp.int-x3.letsencrypt.org kann nicht normal aufgelöst werden.

Um den Zugriff auf die Website zu verbessern, können Sie OCSP Stapling aktivieren, um das Problem des langsamen Zugriffs beim ersten Besuch der Website zu lösen.

Umgebung dieses Artikels:

Pagoden-Panel

CentOS 7 / Windows 2012 R2

Apache / Nginx

1. Aktivieren Sie OCSP Stapling für Server im Ausland

1. Konfigurieren Sie die Apache- oder Nginx-Informationen des Systems

Apache aktiviert OCSP:

① Suchen Sie das Apache-Installationsverzeichnis und bearbeiten Sie die Datei httpd-ssl.conf im Verzeichnis. Das Verzeichnis im CentOS-System lautet: /www/server/apache/conf/extra/httpd-ssl.conf, und das Verzeichnis im Windows-System lautet: C:/BtSoft/apache/conf/extra/httpd-ssl.conf. Entfernen Sie die Kommentare der folgenden beiden Zeilen in der Datei:

SSLUseStapling On

#CentOS:

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(32768)"

#Windows:

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(32768)"

Wenn die beiden obigen Zeilen nicht in der Datei enthalten sind, fügen Sie sie manuell hinzu.

②Bearbeiten Sie die Datei httpd.conf. Das Verzeichnis in CentOS lautet: /www/server/apache/conf/httpd.conf, und das Verzeichnis in Windows lautet: C:/BtSoft/apache/conf/httpd.conf. Entfernen Sie die Kommentarzeichen aus der folgenden Zeile in der Datei:

Lademodul socache_shmcb_module module/mod_socache_shmcb.so

Wenn die obige Zeile in der Datei nicht vorhanden ist, fügen Sie sie manuell hinzu.

③Konfigurieren Sie die Apache-Informationen der Website. Fügen Sie in der Konfigurationsdatei der Website die folgenden Informationen hinzu:

SSLUseStapling On

#CentOS:

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(128000)"

#Windows:

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(128000)"

Die obigen Informationen können oberhalb dieser Zeile <VirtualHost *:443> hinzugefügt werden.

An diesem Punkt wurde OCSP Stapling auf Apache aktiviert. Starten Sie Apache einfach neu.

Nginx aktiviert OCSP:

Fügen Sie direkt in der Nginx-Konfigurationsdatei der Website die folgenden Informationen hinzu:

Server {

hören Sie 443;

………

ssl_stapling on; # Heften aktivieren

ssl_stapling_verify on; # Aktivieren Sie die Heftüberprüfung

…

}

Speichern und Nginx neu starten.

2. Aktivieren Sie OCSP Stapling für Inlandserver

Die Schritte sind dieselben wie im ersten Absatz. Nachdem Sie OCSP Stapling aktiviert haben, müssen Sie auch die Hosts-Datei bearbeiten und die IP-Adresse des Servers ocsp.int-x3.letsencrypt.org angeben.

Die IP-Adressen der ocsp.int-x3.letsencrypt.org-Server lauten wie folgt:

23.44.51.8 (Vereinigte Staaten)

23.44.51.27 (Vereinigte Staaten)

104.109.129.57 (Vereinigtes Königreich)

104.109.129.11 (Vereinigtes Königreich)

175.45.42.209 (Hongkong)

175.45.42.218 (Hongkong)

223.119.50.201 (Hongkong)

223.119.50.203 (Hongkong)

23.32.3.72 (Tokio)

Bearbeiten Sie die Hosts-Datei. Der Pfad in Windows lautet: C:\windows\system32\drivers\etc\hosts, und der Pfad in Linux lautet: /etc/hosts. Fügen Sie die folgenden Informationen hinzu:

175.45.42.218 ocsp.int-x3.letsencrypt.org

Starten Sie einfach Apache oder Nginx neu.

3. Überprüfen Sie, ob OCSP Stapling erfolgreich aktiviert wurde

1. Verwenden Sie den folgenden Befehl in SSH:

openssl s_client -connect www.yourwebsite.com:443 -servername www.yourwebsite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP-Antwort"

Wenn die Site die OCSP-Antwort „Keine Antwort gesendet“ zurückgibt, bedeutet dies, dass die Aktivierung fehlgeschlagen ist.

Wenn die Site OCSP-Stapling erfolgreich aktiviert hat, wird eine Eingabeaufforderung mit „erfolgreich“ zurückgegeben.

2. Öffnen Sie die folgende URL und geben Sie Ihre zu erkennende Website ein:

https://www.getssl.cn/ocsp

Wenn Ihre Website beim ersten Öffnen langsam erscheint und zudem https verwendet, sollten Sie prüfen, ob ein Problem mit dem Zertifikat vorliegt.

Bitte folgen Sie 123WORDPRESS.COM, um mehr über das Problem der langsamen Website-Öffnungsgeschwindigkeit zu erfahren