OCSP протоколы желідегі SSL сертификатының күйін тексеруге мүмкіндік береді. Сайтты ашқан кезде браузер OCSP серверіне хабарласып, осы сертификат туралы ақпаратты алуға тырысады. Бұл операцияның жылдамдығына әсер етеді, себебі OCSP сервері сайт орналасқан серверге әлдеқайда көп болуы мүмкін.
OCSP қапсырмасы веб-серверге сертификат эмитент серверінен OCSP жауаптарын тіркеуге мүмкіндік береді. Бұл жұмыс жылдамдығына оң әсер етеді. Өйткені, браузер енді баспагер серверіне тікелей қосылуы қажет емес.
Жалпы алғанда, nginx-дағы буманы қосу үшін, сізге баспагердің түбірлік куәлігі қажет. Ағымдағы StartSSL түбірлік сертификатын мына жерден жүктеуге болады: startssl.com/root . Бұл жағдайда тіркелгіңізге кіруіңіз керек.
Бірақ сіз тікелей жүктей аласыз:
https://adwords.google.com/articles
Бұдан әрі, StartSSL сертификатын (немесе сервердің жаһандық теңшелім файлында, егер барлық сайттарда StartSSL сертификаты болса) конфигурациясында қадамды қамтитын параметрді жазамыз:
ssl_stapling on;
Содан кейін бұрын жүктеген түпнұсқалық куәлікті көрсететін параметр:
ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt;
Немесе тіпті openssl бумасымен бірге келетін түбірлік сертификаттың жолын көрсете аламыз:
ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem;
Және, ең бастысы, сертификаттар тізбегін тексеру тереңдігі. Әдепкіде бұл параметр 1 болады.
ssl_verify_depth 3;
Startssl ең төменгі тереңдігі 3. Бұл түбірлік сертификатты, StartCom Class 1 DV Server CA аралық сертификатын және тікелей сіздің сайтыңыздың сертификатын тексереді. Бұлай болмаса, қадам жасау жұмыс істемейді.
Сондай-ақ, көптеген мақалаларда OCSP серверлерінің IPін анықтау үшін resolver
параметрін көрсету ұсынылады. Бірақ ол онсыз жұмыс істеді. Файл өзгерістерінен кейін nginx-ты қайтадан өшіруді ұмытпаңыз. ;)
Веб-тораптардағы қапсырмалардың жұмысын тексеруге болады: https://www.digicert.com/help/ және https://ssllabs.com .