南琴浪博客

Nginx 启用 OCSP Stapling

10/24/2017

这里,本文将介绍什么是 OCSP Stapling 以及为什么要开启它。

在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。

OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。

而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OCSP 封套),Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。

生成 ssl_trusted_certificate 文件

经过以下步骤生成所需的用于 ssl_trusted_certificate 的文件。

首先,需要准备三份证书文件:

  • 站点证书(website.pem)
  • 中间证书(intermediate.pem)
  • 根证书(root.pem)

中间证书和根证书,需要根据你的证书 CA 下载对应的证书。

这里列出 Let’s Encrypt 的中间证书和根证书的下载地址:

  • 中间证书:
    • Let’s Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
    • Let’s Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
    • Let’s Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
    • Let’s Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem
  • 根证书:
    • DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
    • ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem

以 DST Root CA X3 根证书 + Let’s Encrypt Authority X3 中间证书 为例(现在 Let’s Encrypt 签发的证书基本都是这样的组合):

# 下载中间证书和根证书
wget -O intermediate.pem https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
wget -O root.pem https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem

# 生成 CA Bundle 验证文件
# 中间证书在上、根证书在下
cat `cat intermediate.pem` > bundle.pem
cat root.pem >> bundle.pem

这样,生成的 bundle.pem 就是所需的 ssl_trusted_certificate 文件。

生成 OCSP Response 文件

openssl x509 -in website.pem -noout -ocsp_uri

使用这个命令返回你证书对应的 OCSP 地址。例如 Let’s Encrypt 的 OCSP 地址是 http://ocsp.int-x3.letsencrypt.org/。

然后,获取站点证书的 OCSP Response 并输出到 stapled.der 文件:

openssl ocsp -no_nonce \
    -issuer  intermediate.pem \
    -cert    website.pem \
    -CAfile  bundle.pem \
    -VAfile  bundle.pem \
    -url     http://ocsp.int-x3.letsencrypt.org \
    -respout stapled.der

其中 stapled.der 就是我们需要的 OCSP Response 文件,将它定义给 ssl_stapling_file 指定,作为 OCSP Stapling 缓存依据。

根据 OCSP 协议,这个文件只有 7 天有效期,所以服务端需要及时更新该文件。

启用 OCSP Stapling 特性

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate .../bundle.pem;
ssl_stapling_file .../stapled.der;
resolver 8.8.8.8 valid=600s;
resolver_timeout 5s;

然后重启 Nginx,就成功启用 OCSP Stapling 了。

OCSP Stapling Status

openssl s_client -connect sometimesnaive.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

若站点已成功启用 OCSP Stapling,会返回以下:

OCSP response:
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

若返回这个,明显就是失败了:

OCSP response: no response sent

也可以访问 ssllabs 进行 SSL 测试,其中也能看到 OCSP Stapling 开启与否的报告。