1. 什么是OCSP stapling?

OCSP的全稱是Online Certificate Status Protocol，即在線證書狀態(tài)協(xié)議。顧名思義，它是一個用于檢查證書狀態(tài)的協(xié)議，瀏覽器使用這個協(xié)議來檢查證書是否被撤銷。使用Chrome瀏覽器查看https://www.baidu.com的證書詳情，可以看到OCSP的查詢地址：

瀏覽器需要發(fā)送請求到這個地址來驗證證書狀態(tài)。

OCSP存在隱私和性能問題。一方面，瀏覽器直接去請求第三方CA(Certificate Authority, 數(shù)字證書認證機構(gòu))，會暴露網(wǎng)站的訪客(Let’s Encrypt會知道哪些用戶在訪問Fundebug)；另一方面，瀏覽器進行OCSP查詢會降低HTTPS性能(如訪問您的站點會變慢)。

為了解決OCSP存在的2個問題，就有了OCSP stapling。由網(wǎng)站服務(wù)器去進行OCSP查詢，緩存查詢結(jié)果，然后在與瀏覽器進行TLS連接時返回給瀏覽器，這樣瀏覽器就不需要再去查詢了。這樣解決了隱私和性能問題。

2. Nginx的OCSP stapling完整配置如下：(此處省略了其他無關(guān)的配置選項)

http

{

? ? resolver 127.0.0.1;

? ? server

? ? {

? ? ? ? ssl_stapling on;

? ? ? ? ssl_stapling_verify on;

? ? ? ? ssl_trusted_certificate *.pem文件地址;

? ? }

}