ssl_ocsp_cache
Директива `ssl_ocsp_cache` настраивает поведение кэширования ответов OCSP (Протокол онлайн-проверки статуса сертификата) в NGINX. — NGINX HTTP Core
Описание
Директива `ssl_ocsp_cache` позволяет указать механизм кэширования ответов OCSP в NGINX. Когда ответ OCSP получен, он может быть сохранён в кэше, чтобы уменьшить количество запросов к серверу OCSP, что в свою очередь повышает производительность и надёжность. Директива должна быть задана в контексте `http` или `server` и принимает один аргумент, определяющий поведение кэша и длительность хранения. Аргумент задаёт параметры кэширования в формате, указывающем, как долго ответы OCSP должны храниться в кэше. По истечении этого времени ответ считается устаревшим, и будет выполнен новый запрос к серверу OCSP для проверки статуса отзыва сертификата. Это важно для обеспечения актуальной информации о статусе SSL/TLS сертификатов, используемых вашим приложением. Правильная настройка этой директивы может значительно улучшить производительность SSL в условиях высокой нагрузки, одновременно минимизируя накладные расходы, связанные с частыми запросами OCSP. Важно контролировать размер кэша, чтобы он соответствовал возможностям памяти вашего сервера, поскольку неправильно настроенный кэш может привести к увеличению задержек или дефициту памяти.
Пример конфига
ssl_ocsp_cache shared:ocsp_cache:10m;
Зона кэша должна быть определена до использования этой директивы; в противном случае она будет работать некорректно.
Если кэширование не включено или размер кэша слишком мал, это может привести к чрезмерному количеству запросов OCSP, что потенциально повлияет на производительность.