ocsp-stapling的问题请教下？

382482175

hello：

在ssl_ceritifcate_by_lua* 中开启ocsp-stapling机制： https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ocsp.md

有几点疑问想请教下：

1 如果每次ssl握手时(全握手）都由openresty去CA查询，是不是效率太低了，这是正常的情况码？

2 如果没有ocsp-stapling机制支持，那么浏览器(比如chrome）会自己去CA查询吗（在全握手情况下）？抓包好像也没看到。

3 cloudflare说ocsp-stapling可以节省30%的全握手时间，这个是怎么测量的？如果浏览器根本不做ocsp，那么这里在服务器中加上ocsp-stapling的机制感觉只会造成ssl的耗时增加啊。。

请教各位，谢谢！

spacewanderlzx

1. ocsp-stapling 结果可以缓存到 shdict 里面来
2. Chrome 认为 OCSP 并不好，所以自己实现了另外一套机制。如果你抓包用的是 Chrome 浏览器，应该不能看到。

你可以看下：
https://moonbingbing.gitbooks.io/openresty-best-practices/ssl/certificate.html#ocsp-stapling
以及英文维基和相关的 RFC。

在 2017年11月22日 下午5:16，keke fan <3824...@qq.com> 写道：
> hello：
>
>       在ssl_ceritifcate_by_lua* 中开启ocsp-stapling机制：
> https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ocsp.md
>
>      有几点疑问想请教下：
>
>      1 如果每次ssl握手时(全握手）都由openresty去CA查询，是不是效率太低了，这是正常的情况码？
>
>      2 如果没有ocsp-stapling机制支持，那么浏览器(比如chrome）会自己去CA查询吗（在全握手情况下） ？ 抓包好像也没看到。
>
>      3 cloudflare说ocsp-stapling可以节省30%的全握手时间 ，这个是怎么测量的？
> 如果浏览器根本不做ocsp，那么这里在服务器中加上ocsp-stapling的机制感觉只会造成ssl的耗时增加啊 。。
>
>       请教各位，谢谢！
>
>
>
>
> --
>

382482175

谢谢回复！

在经过一番斟酌后，打算采取如下手段来做：

1 起一个第三发的or服务，将各个域名对应的证书进行ocsp-stapling的查询，将结果保存下来供OpenResty在握手的时候用(根据域名选择），同时这个三方服务会定时去更新各个域名的ocsp-stapling查询结果（防止过期）

2 在ssl_certificate_by_lua阶段直接取结果后设置，不用进行实时CA查询。

另外请问下，是否有必要进行ocsp-stapling？

我看几乎没啥客户端关心证书是否被吊销了，还是我的错觉？支持ocsp-stapling的收益明显吗？

谢谢！

在 2017年11月22日星期三 UTC+8下午5:36:03，Zexuan Luo写道：

1. ocsp-stapling 结果可以缓存到 shdict 里面来
2. Chrome 认为 OCSP 并不好，所以自己实现了另外一套机制。如果你抓包用的是 Chrome 浏览器，应该不能看到。

你可以看下：
https://moonbingbing.gitbooks.io/openresty-best-practices/ssl/certificate.html#ocsp-stapling
以及英文维基和相关的 RFC。

在 2017年11月22日下午5:16，keke fan <3824...@qq.com> 写道：
> hello：
>
> 在ssl_ceritifcate_by_lua* 中开启ocsp-stapling机制：
> https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ocsp.md
>
> 有几点疑问想请教下：
>
> 1 如果每次ssl握手时(全握手）都由openresty去CA查询，是不是效率太低了，这是正常的情况码？
>
> 2 如果没有ocsp-stapling机制支持，那么浏览器(比如chrome）会自己去CA查询吗（在全握手情况下）？抓包好像也没看到。
>
> 3 cloudflare说ocsp-stapling可以节省30%的全握手时间，这个是怎么测量的？
> 如果浏览器根本不做ocsp，那么这里在服务器中加上ocsp-stapling的机制感觉只会造成ssl的耗时增加啊。。
>
> 请教各位，谢谢！
>
>
>
>
> --
>

spacewanderlzx

个人认为其实起个 ngx.time.every 就够用了，不需要额外搞个服务。当然你的情况可能跟我以为的不一样。至于支持
ocsp-stapling 的收益是否明显，这个问题就像小马过河，需要有实际的业务数据论证才行。作为局外人，并不能担保会有多大提升。

在 2017年11月22日 下午9:48，keke fan <3824...@qq.com> 写道：
> 谢谢回复！
> 在经过一番斟酌后，打算采取如下手段来做：
>
> 1
> 起一个第三发的or服务，将各个域名对应的证书进行ocsp-stapling的查询，将结果保存下来供OpenResty在握手的时候用(根据域名选择），
> 同时这个三方服务会定时去更新各个域名的ocsp-stapling查询结果（防止过期）
>
> 2 在ssl_certificate_by_lua阶段直接取结果后设置，不用进行实时CA查询。
>
> 另外请问下，是否有必要进行ocsp-stapling？
>
> 我看几乎没啥客户端关心证书是否被吊销了，还是我的错觉？    支持ocsp-stapling的收益明显吗？
>
> 谢谢！
>
>
> 在 2017年11月22日星期三 UTC+8下午5:36:03，Zexuan Luo写道：
>>
>> 1. ocsp-stapling 结果可以缓存到 shdict 里面来
>> 2. Chrome 认为 OCSP 并不好，所以自己实现了另外一套机制。如果你抓包用的是 Chrome 浏览器，应该不能看到。
>>
>> 你可以看下：
>>
>> https://moonbingbing.gitbooks.io/openresty-best-practices/ssl/certificate.html#ocsp-stapling
>> 以及英文维基和相关的 RFC。
>>
>> 在 2017年11月22日 下午5:16，keke fan <3824...@qq.com> 写道：
>> > hello：
>> >
>> >       在ssl_ceritifcate_by_lua* 中开启ocsp-stapling机制：
>> > https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ocsp.md
>> >
>> >      有几点疑问想请教下：
>> >
>> >      1 如果每次ssl握手时(全握手）都由openresty去CA查询，是不是效率太低了，这是正常的情况码？
>> >
>> >      2 如果没有ocsp-stapling机制支持，那么浏览器(比如chrome）会自己去CA查询吗（在全握手情况下） ？
>> > 抓包好像也没看到。
>> >
>> >      3 cloudflare说ocsp-stapling可以节省30%的全握手时间 ，这个是怎么测量的？
>> > 如果浏览器根本不做ocsp，那么这里在服务器中加上ocsp-stapling的机制感觉只会造成ssl的耗时增加啊 。。
>> >
>> >       请教各位，谢谢！
>> >
>> >
>> >
>> >
>> > --
>> > --
>

zchao1995

我觉得可以加一个 cache，不必每次都查询，一段时间内可以复用缓存的结果，可以结合 cloudflare 的 https://github.com/cloudflare/lua-resty-shcache