Https SSL证书 本地化OCSP地址是什么

最新推荐文章于 2025-06-26 16:00:00 发布
最新推荐文章于 2025-06-26 16:00:00 发布
阅读量613 收藏 7
点赞数 5
CC 4.0 BY-SA版权
文章标签: https ssl 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hwssz/article/details/136458464
项目上线遇到白屏问题,源于专用浏览器对SSL证书OCSP地址的不稳定访问。解决方案包括升级浏览器或选择国内OCSP地址的OV证书。阿里云OV证书的OCSP地址在国内,有效解决了问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OCSP地址即SSL证书中的OCSP验签服务器

最近在做的一个项目上线,前线反馈某些地区访问网站显示白屏,直接影响当地用户使用。公司系统是使用公司自研专用的浏览器登录的,是基于早期谷歌浏览器的开源组件开发的,常出现谷歌访问正常而专用浏览器不行的情况。通过远程复现问题并抓包,我们发现在客户电脑上每次打开专用浏览器都会先访问一个国外证书网站在继续请求,而访问国外证书的网站的不稳定性导致了无法正常打开网站。由于没了解过浏览器证书的校验,我先百度了下SSL网站的校验流程。

1. 客户端发送信息,带上支持的SSL或者TLS版本(注意不同浏览器版本支持不同)

2. 服务器返回确认使用的加密通信协议版本以及加密随机数和证书

3. 浏览器验证证书 -> OCSP或者CRL 结合自带truststore

抓包显示是卡在第三步,访问证书的OCSP地址获取证书授权信息进行校验。

对于这个问题解决方案有2个,1、升级浏览器内核,开发周期较长,难度大。2、购买本地化OCSP地址的证书,这样获取证书的信息的链接能正常请求。

我们服务部署在阿里云上门,证书也是在阿里云上面购买的。阿里云证书有免费DV证书,还有通配符DV证书 2000左右 OV证书5000左右。我们实际使用中发现2000左右的DV证书 证书授权信息地址是国外的,而5000左右的OV证书证书授权信息地址是国内的地址。所以对于生产环境选用OV证书更为稳定。大家可以看看访问网站的证书的详细信息中授权信息访问那一行,可以知道浏览器在校验这个证书时会去访问的授权信息地址了。

在给网站换上了阿里云的OV证书后,地区反馈访问网站已经正常了,这个访问白屏的问题解决了。

对于国内业务的网站推荐购买具有本地化ocsp功能的证书,这样避免出现奇葩的网络问题

hwssz
关注
一文读懂 HTTPSHTTPS握手与TLS证书链校验
bjxiaxueliang的CODING茶馆
06-23 2523
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
Nginx + SSL + Acme + Frp SSL免费证书申请+自动续期+反向代理配置 极细致教程
2401_88223409的博客
02-13 1234
手把手带你配置ssl证书自动续期和反向代理,并指导如何代理frp内网穿透
OCSP环境搭建--Windows Server 2016
CsdnCHong_566的博客
03-18 2780
OCSP环境搭建--Windows Server 2016 一. OCSP环境中相关信息 1. 服务器1 操作系统:Win Server 2016 Standard版 IP地址:172.16.0.19/23,网关:172.16.0.1,首选DNS:127.0.0.1 服务器角色:域控制器、证书颁发机构、radius服务器、DNS服务器 ...
SSL证书与IP地址
mingjunlintian的博客
10-26 348
对于大多数使用场景,我们通常为域名(如)获取SSL证书,而不是直接为IP地址获取。
SSL部署与优化​】​​OCSP Stapling配置指南:减少证书验证延迟​​
DZ Space
05-23 917
本文详细介绍了如何在 Nginx 和 Apache 服务器上启用 OCSP Stapling,以减少证书验证延迟并提升 HTTPS 性能。OCSP Stapling 的核心原理是服务器定期从 CA 获取 OCSP 响应并缓存,在 TLS 握手时直接发送给客户端,从而避免客户端单独查询 CA。文章分别提供了 Nginx 和 Apache 的配置步骤,包括修改配置文件、创建缓存目录、手动触发 OCSP 响应获取、设置自动更新任务以及重启服务器。此外,还介绍了如何验证 OCSP Stapling 是否生效,并列举
OCSP 测试服务器
wuwenlong527的专栏
10-16 4703
 需要寻找一个OCSP测试服务器,今天找到一个,以下为简介:想请参照:http://www.openvalidation.org/useocspservicenew.htmHow to test client applications with OpenValidation.orgDevelopers can use the OpenValidation.org Responder Ser
中国OCSP服务器SSL证书
统诚至信提供一站式SSL/https证书、SSL/https检测解决方案,包括SSL域名证书、代码签名证书、邮件签名证书、文档签名证书、国密证书、IP证书;支持DV、OV、EV、多域名、通配符证书类型,Digicert、Geotrust、Symantec、
07-05 642
服务器在线证书状态协议(OCSP)使应用程序可以确定已标识证书的(吊销)状态。通常 CA 会将证书OCSP服务器部署在在境外。国内应用或网站因在验证时耗时过长导致页面加载比较慢。国内拥有OCSP节点的证书能够完美的解决这一问题!普遍的SSL证书读是海外OCSP,性能太卡,会导致网站打开卡3~8秒,APP启动3~5秒大陆OCSP在性能上具有明显的优势,能让APP启动、网站打开缩短到3~40毫秒。符合三项SSL证书内的仅有2个品牌支持中国OCSP,GlobalSign和Digicert,我们可以看出Global
本地域名,自签SSL证书并本地信任
q764535104的博客
12-29 2226
用win10的hosts配本地域名,以centos7.6服务器为例,用openssl生成证书,适用自用网站,自用api,自签证书,ip证书
深入分析SSL/TLS服务器的证书(C/C++代码实现)
chen1415886044的博客
07-07 2064
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全领域的重要协议,它们在保护网络通信中发挥着至关重要的作用。这些协议通过加密和身份验证机制,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。 这些协议的关键组成部分之一是SSL/TLS服务器的证书,它为服务器提供了一种身份验证和加密的方式
告别SSL证书烦恼!mkcert:让你的本地HTTPS开发如丝般顺滑的终极利器
最新发布
wylee的博客
06-26 1053
通过这篇深度解析,相信你已经对mkcert有了全面的认识,并掌握了如何在自己的开发环境中部署和使用它。mkcert真正做到了简单易用、功能强大、彻底解决痛点,是每一个现代Web开发者工具箱中不可或缺的利器。mkcert的价值总结:这是最直接的体感提升。告别复杂的openssl命令。确保你的应用能够在本地充分测试Service Workers、PWA等功能。在macOS、Windows、Linux上无缝工作。提前发现并解决HTTPS环境下可能出现的问题。
Nginx与HTTPS卸载:SSL/TLS终止点详解
墨夶的博客
02-09 1349
通过使用 Nginx 进行 HTTPS 卸载和 SSL/TLS 终止,可以显著提高网站的安全性和性能。本文详细介绍了从生成和管理 SSL/TLS 证书到配置 Nginx 作为终止点的过程,并通过实际案例展示了完整的集成方案。希望这些内容能够帮助你更好地理解和应用 Nginx SSL/TLS 终止技术,构建高效、安全的 Web 应用!以上内容涵盖了 Nginx SSL/TLS 终止的基本概念、配置方法、实际案例分析以及最佳实践。如果你对某个具体部分感兴趣,欢迎进一步提问!
在线证书状态协议-OCSP
11-26
在线证书状态协议-OCSP 在线证书状态协议-OCSP介绍及用法
阿里云 CDN HTTPS 最佳实践——OCSP Stapling
weixin_34148340的博客
11-13 614
背景 下图是互联网 PKI 证书的生命周期: 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式...
nginx优化httpsocsp
无风的雨
06-18 2405
当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种: 1.证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号。客户端通过访问CRL来验证网站证书是否有效。 2.在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 3212
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
SSL证书中的OCSP是什么?国内OCSP有什么好处?
SCTGO为企业和个人提供高性价比的SSL证书服务
03-19 741
SSL(安全套接字层)或其后续版本TLS(传输层安全协议)中,是(在线证书状态协议)的缩写。它是一种用于检查数字证书有效性的协议,主要是为了确认证书是否被撤销(例如,由于私钥泄露或其他安全问题)。
Https优化方案(优化证书验证篇--OCSP
热门推荐
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
NGINX配置HTTPS OCSP完整过程
HalsonHe的专栏
07-13 4857
转:https://sillydong.com/mysa/myserver/https_openssl.html最近在调试https,买了一个godaddy的证书ocsp的配置一直不成功,参考了网上各种文档,从godaddy的存储库下载各种证书,尝试各种搜索结果均无果,后来申请了一个startssl证书,简单配置了一下,从官网下在了根证书和中间证书合成了一下就可以用ocsp了,邮件给start...
OCSPSSL证书中起什么作用
SSL加密技术
12-21 1166
SSL证书是数字证书的一种,形式上是一组密钥。在服务器上安装了SSL证书后,服务器与终端之间的数据都是通过此密钥进行加密后传输的,防止数据在传输的过程中被窃取、篡改。安装的SSL证书是有一定的生命周期的,并不是可以无限期的使用下去。一种是SSL证书自然过期后,将无法使用,需要再找CA机构签发新的证书;另一种是,因为某些特殊原因在SSL证书过期前,被 CA 机构吊销。但如何判断SSL证书是否在有效期内或是否被吊销呢?这时候 OCSP 就起到了至关重要的作用。 OCSP(Online Certificate
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值