Nginx之OCSP stapling配置

摘要： 正确地配置OCSP stapling, 可以提高HTTPS性能。什么是OCSP stapling?OCSP的全称是Online Certificate Status Protocol，即在线证书状态协议。顾名思义，它是一个用于检查证书状态的协议，浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看https://www.fundebug.com的证书详情，可以看到OCSP的查询地址：Fundebug使用的是Let’s Encrypt的免费证书，其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/，浏览器需要发送请求到这个地址来验证证书状态。OCSP存在隐私和性能问题。一方面，浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构)，会暴露网站的访客(Let’s Encrypt会知道哪些用户在访问Fundebug)；另一方面，浏览器进行OCSP查询会降低HTTPS性能(访问Fundebug会变慢)。为 ………………………………