如何设置HSTS和OCSP Stapling?

最新推荐文章于 2025-05-23 13:27:21 发布
原创 最新推荐文章于 2025-05-23 13:27:21 发布 · 423 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HSTS #OCSP Stapling

设置HSTS(HTTP Strict Transport Security)和OCSP Stapling可以增强你的HTTPS网站的安全性。下面是如何在Apache和Nginx中配置这两项功能的指南。

HSTS (HTTP Strict Transport Security)

HSTS是一种安全机制,它告诉浏览器只能通过HTTPS连接到服务器,并且在一定时间内强制使用HTTPS。这有助于防止中间人攻击(MITM),如协议降级攻击和cookie劫持。

在Apache中启用HSTS

编辑站点的虚拟主机配置文件,在<VirtualHost *:443>块内添加以下行:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

这里:

  • max-age=31536000 设置了缓存时间(以秒为单位),即一年。
  • includeSubDomains 指令将HSTS策略应用到所有子域名。
  • preload 标记是可选的,它表明你希望你的域名被包含在浏览器预加载列表中。一旦加入这个列表,就不能轻易移除,所以请确保你完全理解其含义再使用。
在Nginx中启用HSTS

编辑Nginx站点配置文件,在server块内添加以下行:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

同样的参数适用于Nginx配置。

OCSP Stapling (Online Certificate Status Protocol Stapling)

OCSP Stapling允许Web服务器代替客户端向证书颁发机构查询证书状态信息。这减少了延迟并保护了用户的隐私,因为查询不会直接从用户设备发送到CA。

在Apache中启用OCSP Stapling

确保你的Apache版本支持OCSP Stapling(2.3.3或更高)。然后,在<VirtualHost *:443>块内添加以下行:

SSLUseStapling On
SSLStaplingCache "shmcb:logs/stapling-cache(128000)"
  • SSLUseStapling On 启用OCSP Stapling。
  • SSLStaplingCache 定义用于存储OCSP响应的共享内存区域。这里的路径可以根据你的系统进行调整。

此外,确保定期重启Apache以更新OCSP响应,或者使用mod_md模块来自动管理证书和OCSP响应。

在Nginx中启用OCSP Stapling

编辑Nginx站点配置文件,在server块内添加以下行:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s; # 使用Google DNS或其他可靠的DNS解析服务
resolver_timeout 5s;
  • ssl_stapling on 启用OCSP Stapling。
  • ssl_stapling_verify on 确保OCSP响应来自可信来源。
  • resolver 行定义了用来查询OCSP响应的DNS服务器地址。
  • resolver_timeout 设置了等待DNS解析的时间。

测试配置

完成上述配置后,请记得测试你的配置是否正确无误:

  • 对于Apache,可以运行sudo apachectl configtest检查配置文件是否有错误。
  • 对于Nginx,可以运行sudo nginx -t来进行类似的测试。

之后,重启你的Web服务器使更改生效:

  • Apache: sudo systemctl restart apache2
  • Nginx: sudo systemctl restart nginx

最后,使用在线工具如SSL Labs’ SSL Test来验证你的HSTS和OCSP Stapling配置是否成功实施。

CentOS8使用gmssl搭建demoCA及配置OCSP服务
MARS_098的博客
09-26 2914
本文档以CentOS8 + GmSSL2.5.4版本为例 1、GmSSL搭建CA 1.1 安装GmSSL 我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。 GmSSL的官方配置文档链接:关于GmSSL 可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc
配置证书 OCSP 成功
记录点滴
10-11 551
参考资料: OpenSSL 通过OCSP手动验证证书 https://www.cnblogs.com/penghuster/p/6895714.html 免费SSL证书的OCSP问题 http://www.manongjc.com/detail/19-mhvsinmgxxhfnqa.html 从无法开启 OCSP Stapling 说起,OCSP是什么 https://blog.51cto.com/professor/1841618 ...
【SSL部署与优化​】​​OCSP Stapling配置指南:减少证书验证延迟​​
DZ Space
05-23 922
本文详细介绍了如何在 Nginx Apache 服务器上启用 OCSP Stapling,以减少证书验证延迟并提升 HTTPS 性能。OCSP Stapling 的核心原理是服务器定期从 CA 获取 OCSP 响应并缓存,在 TLS 握手时直接发送给客户端,从而避免客户端单独查询 CA。文章分别提供了 Nginx Apache 的配置步骤,包括修改配置文件、创建缓存目录、手动触发 OCSP 响应获取、设置自动更新任务以及重启服务器。此外,还介绍了如何验证 OCSP Stapling 是否生效,并列举
在服务器上配置仅使用HTTPS通信的教程
01-11
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debian 6 & 7 CentOS 6,只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全? 引用自 Mozilla Developer Network:     如果
如何在 Apache Nginx 上配置 OCSP Stapling
rubys007的博客
04-22 2014
OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书。
如何通过部署Bulletproof SSLTLS来优化HTTPS在Web应用中的安全性,同时确保数据传输的完整性保密性?
10-31
5. **实现OCSP Stapling**:OCSP Stapling可以减少证书撤销检查的延迟提高效率。 6. **限制密码套件**:只启用强加密套件,例如使用ECDHE或DHE的前向保密套件,并禁用较弱的套件。 7. **进行性能优化**:使用...
Nginx 如何配置 HTTPS HTTP/2?
最新发布
07-22
3. **性能优化**:启用SSL会话缓存(`ssl_session_cache`)OCSP Stapling(`ssl_stapling`)可以显著提升HTTPS性能。 4. **安全加固**:禁用旧版TLS(如TLSv1.0TLSv1.1),使用强加密套件,并配置HSTS以增强安全...
大型互联网站点HTTPS实践(三):基于协议配置的优化.docx
07-01
最后,文章提到了Ocsp stapling技术,这是对OCSP在线证书状态协议的一种优化。通过服务器直接向浏览器提供证书的撤销信息,可以减少浏览器与CA站点之间通信的次数,加快证书验证过程,提高安全性的同时也加速了HTTPS...
如何在Web应用中实现Bulletproof SSLTLS,以提升HTTPS协议的安全性?
10-31
配置OCSP Stapling以减少证书验证的延迟提升性能。 5. 监控维护:定期检查证书的过期时间,并及时更新密钥证书;使用SSL/TLS扫描工具,持续监控网站的安全状态,及时发现并修复安全漏洞。 通过上述步骤,你...
大型互联网站点HTTPS实践(三):基于协议配置的优化(1).docx
06-26
4. OCSP Stapling(在线证书状态协议包装)技术让服务器自身负责向证书验证机构(CA)查询证书状态,而非客户端浏览器发起查询,减少了可能存在的延时网络安全问题。这种方式对于提升HTTPS连接效率安全性都有...
Nginx 启用 OCSP Stapling的配置
09-30
本篇文章主要介绍了Nginx 启用 OCSP Stapling的配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
来此加密证书申请,验证,自动部署
brazor的博客
08-18 4398
来此加密https证书的申请,验证,自动部署
Nginx使用SSL加密,配置文件各个参数的含义
thj_blog
07-07 5013
常见参数 ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端 ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。 ssl_session_timeout : 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。 sl_session_cache shared:SSL:10m; : 设置ssl/tls会话缓存的类型大小。 ...
Nginx配置SSL详解
囚徒之困
04-28 3089
nginx配置ssl nginx配置https
Nginx配置HSTS
weixin_43117893的博客
06-27 3921
HSTS的全称是HTTP Strict-Transport-Security,它是一个Web安全策略机制(web security policy mechanism)。 HSTS最早于2015年被纳入到ThoughtWorks技术雷达,并且在2016年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施,并且ThoughtWorks已经将其应用于自己的项目。 HSTS最为核心的是一个HTTP响应头(H
Windows服务器:通过nginx反向代理配置HTTPS、安装SSL证书
小蓝枣的博客
02-29 2570
listen 443 ssl; 指定该服务器块监听 443 端口,并启用 SSL 。 ssl_certificate ssl_certificate_key 分别指定 SSL 证书文件密钥文件的路径。 ssl_protocols 指定允许的 SSL 协议版本。 ssl_prefer_server_ciphers 开启后,服务器端的优先级更高,选择服务器端的加密套件。 ssl_session_cache ssl_session_timeout 配置 SSL 会话缓存以提高性能。
Nginx实战】Nginx开启OCSP stapling
李维山的博客
07-24 3301
1、首先科普一下什么是OCSP stapling: 2、Nginx开启OCSP stapling配置: server { listen 80; listen 443 ssl http2; server_name oyhdo.com index index.html index.php index.htm default.php default.htm default.html; root /www/wwwroot/oyhdo.com/publi...
更快更安全,HTTPS 优化总结
weixin_34290631的博客
02-26 641
在网站升级到 HTTPS 之后,我们还可以有很多玩意可以折腾,优化 HTTPS,让它更快更安全。这里是一篇 HTTPS 优化的总结,也包含问题的解决方法,不过不仅仅包括 HTTPS 的优化,也包含 HTTP 一些安全相关的配置。 因为平时用 Nginx 比较多,本文涉及到 Web Server 的大多数例子都会以 Nginx 为例。如果有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涔溪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值