ssl_ocsp
Директива `ssl_ocsp` включает или отключает проверку протокола Online Certificate Status Protocol (OCSP) для SSL/TLS-соединений в NGINX. — NGINX HTTP Core
Описание
Директива `ssl_ocsp` используется для указания того, включён ли Online Certificate Status Protocol (OCSP) для SSL/TLS-сертификатов в NGINX. Когда OCSP включён, NGINX обращается к центру сертификации (CA) для проверки статуса отзыва SSL-сертификата, представленного клиентом, повышая безопасность за счёт принятия только действительных клиентских сертификатов. Директива действует в контекстах `http` и `server` конфигурации NGINX. При включении этой директивы NGINX будет пытаться проверять статус сертификатов в процессе SSL-рукопожатия. Такая проверка важна для обнаружения отозванных TLS-сертификатов. Если сертификат оказывается отозванным, соединение может быть завершено в соответствии с настройками сервера. Однако необходимо реализовывать эту функцию осторожно, поскольку зависимость от внешних OCSP-серверов может добавить задержки или привести к сбоям в работе SSL, если эти серверы недоступны. Кроме того, подразумевается, что при настройке сертификатов должен быть указан действующий OCSP responder URL. Директива принимает только один аргумент, указывающий, включать или отключать проверку OCSP. Эта директива может быть особенно важна для приложений с повышенными требованиями к безопасности, поскольку помогает предотвратить использование скомпрометированных сертификатов при эффективном управлении состоянием SSL клиентских соединений.
Пример конфига
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/private.key;
ssl_ocsp on;
}Убедитесь, что URL OCSP responder корректно настроен и доступен; в противном случае SSL handshakes могут не состояться.
Не забудьте отслеживать время ответа OCSP, чтобы задержки не ухудшали пользовательский опыт.
Учитывайте последствия включения OCSP на серверах с высокой нагрузкой — частые сетевые запросы к OCSP серверам могут привести к ухудшению производительности.