Protokół OCSP umożliwia sprawdzenie statusu certyfikatu SSL online. Podczas otwierania witryny przeglądarka próbuje skontaktować się z serwerem OCSP i uzyskać informacje o tym certyfikacie. Wpływa to na szybkość działania, ponieważ serwer OCSP może być znacznie większy niż serwer, na którym znajduje się witryna.
Zszywanie OCSP umożliwia serwerowi WWW dołączanie odpowiedzi OCSP z serwera wystawcy certyfikatów. Ma to pozytywny wpływ na szybkość pracy. W końcu przeglądarka nie musi już łączyć się bezpośrednio z serwerem wydawcy.
Ogólnie rzecz biorąc, aby włączyć pomost na nginx, potrzebny jest certyfikat główny wydawcy. Aktualny certyfikat główny StartSSL można pobrać tutaj: startssl.com/root . W takim przypadku musisz najpierw zalogować się na swoje konto.
Ale możesz pobrać bezpośrednio:
wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt
Następnie, w konfiguracji witryny z certyfikatem z StartSSL (lub w globalnym pliku konfiguracyjnym serwera, jeśli wszystkie witryny mają certyfikat z StartSSL), zapisujemy parametr obejmujący krok:
ssl_stapling;
Następnie parametr wskazujący pobrany certyfikat główny:
ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt;
Lub możemy nawet podać ścieżkę do certyfikatu głównego, który jest dostarczany z pakietem openssl:
ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem;
I, co najważniejsze, głębokość weryfikacji łańcucha certyfikatów. Domyślnie ten parametr to 1.
ssl_verify_depth 3;
Startssl ma minimalną głębokość równą 3. Sprawdza certyfikat główny, pośredni certyfikat Serwera DV Serwera StartCom klasy 1 i bezpośrednio certyfikat Twojej witryny. Bez tego krokowanie nie zadziała.
Również w wielu artykułach zaleca się określenie parametru resolver celu określenia adresu IP serwerów OCSP. Ale bez niego zadziałało to dla mnie. Nie zapomnij zrestartować nginx po zmianie pliku. ;)
Możesz sprawdzić działanie zszywania na stronach internetowych: https://www.digicert.com/help/ i https://ssllabs.com .
(Brak ocen jeszcze) 
Ładowanie ...