ssl_stapling_responder
'ssl_stapling_responder' 指令配置用于检索 OCSP(在线证书状态协议)stapling 响应的 URL。 — NGINX HTTP Core
ssl_stapling_responder
httpserver
语法ssl_stapling_responder URL;
默认值none
上下文http, server
模块NGINX HTTP Core
参数1
说明
'ssl_stapling_responder' 指令在 NGINX 中用于指定一个可从中获取 OCSP stapling 响应的 URL。该指令对于优化 SSL/TLS 证书验证过程至关重要,允许客户端以更简化的方式检查证书的撤销状态。通过定义响应者的 URL,NGINX 可以高效地获取 OCSP 响应,从而通过减少客户端为获取证书状态而向证书颁发机构(CAs)发起多次查询所花费的时间,提升受保护连接的性能。 在实践中,该指令提供的 URL 必须是有效的 OCSP 服务器端点。通常它是一个 HTTPS URL,因为 OCSP 响应通常涉及有关证书有效性状态的敏感信息。'ssl_stapling_responder' 的配置应位于 'http' 或 'server' 块中,其正确设置可以显著提升 SSL 性能,尤其是在高流量的 Web 环境中。同时还需确保 OCSP 响应者正常运行并可访问,以避免服务中断或连接延迟增加。
配置示例
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_stapling on;
ssl_stapling_responder https://ocsp.example.com;
}⚠
确保提供的 URL 可访问并已正确配置为 OCSP 服务器。
⚠
使用 non-HTTPS URLs 可能在检索 OCSP 响应时暴露敏感数据。
⚠
错误配置的 OCSP 响应者可能导致 TLS 握手失败。