Windows IIS OCSP的开启和检测

2024-01-17 12:36:51 浏览数 (3)

题目虽然是“Windows IIS OCSP的开启和检测”,实际上检测方法是通用的,Web Server不限于是IIS还是Apache、Nginx等。

腾讯云所有Windows未下线镜像对应的IIS版本都支持OCSP(系统≥server2008或≥Vista)

双击导入这个注册表项即可开启OCSP

ocsp.reg.zip

这是我在https://freessl.cn/ 申请的免费证书:full_chain.pem和private.key

在Linux里,用openssl x509 -in full_chain.pem -noout -ocsp_uri 生成OCSP地址

我域名test.sanqinyinshi.cn接入了腾讯云CDN,目前腾讯云CDN支持tls1.0/1.1/1.2

用以下3条命令验证是否开启了OCSP,出现“OCSP response: no response sent”的概率较高,但也有成功的时候,怀疑是OCSP服务器在海外,中国大陆访问海外,丢包率较高,所以时通时不通

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1 -tlsextdebug -status | grep -A 17 'OCSP response:'

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1_1 -tlsextdebug -status | grep -A 17 'OCSP response:'

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1_2 -tlsextdebug -status | grep -A 17 'OCSP response:'

我证书的OCSP地址是http://statusf.digitalcertvalidation.com,于是我ping这个域名看了下丢包率

ping statusf.digitalcertvalidation.com -c 100 > ping.info

20%的丢包率,国外的,可以理解

OCSP服务器被限制访问或OCSP服务器访问慢,会导致https访问慢。由于大多数全球权威CA的OCSP站点都设在国外,当网络环境较差、出现网络故障以及遇到特殊时期网络封锁,客户端无法连接到OCSP站点,或者OCSP站点无法返回证书状态内容,导致HTTPS请求可能还没到多次握手阶段,就先卡在了OCSP环节,直接影响网站的访问速度,严重时造成网站瘫痪无法访问。

综上,开启OCSP要谨慎。

另外,有个在线检测OCSP的工具挺方便的:https://crt.sh/

输入域名点查询,然后点ID进去能看到一个check按钮,变成Good说明开启OCSP了

0 人点赞