ssl_stapling

说明

`ssl_stapling` 指令在 NGINX 中用于控制 OCSP stapling，这是一个机制，允许服务器直接向客户端提供带时间戳的 OCSP response。这样客户端就不需要连接到 OCSP responder 来验证证书状态，从而改善响应时间并增强隐私。该指令接受一个布尔标志作为参数，表示可以将其设置为 'on' 以启用 OCSP stapling，或设置为 'off' 以禁用它。 启用后，在 SSL 握手期间，当证书被呈现时 NGINX 会从 certificate authority 检索并缓存最新的 OCSP response。如果缓存的 response 有效，则会在发送给客户端的 SSL 握手消息中包含该 response。如果无效，服务器将向 OCSP responder 发出请求以获取新的 response。因此，谨慎管理服务器的缓存策略并确保 OCSP responses 不会过时非常重要。此外，OCSP stapling 的实现依赖于具有支持该功能的有效 SSL 证书，并且通常需要配置适当的 resolver settings 来解析 OCSP 服务器的 DNS。

配置示例

server {
    listen       443 ssl;
    server_name  example.com;

    ssl_certificate     /path/to/certificate.crt;
    ssl_certificate_key /path/to/private.key;

    ssl_stapling on;
    ssl_stapling_verify on;
}