OCSP を有効にすると、https 証明書の検証効率が向上し、Let's Encrypt SSL 証明書へのアクセスが遅くなる問題が解決されます。

ここ数日、ウェブサイトを初めて開いたときにアクセスが非常に遅いのですが、その後はページが正常に開きます。調査の結果、問題はHTTPS証明書の検証タイムアウトであり、証明書プロバイダーの検証URLにアクセスできないことが判明しました。回線の問題なのか、ファイアウォールの問題なのかはわかりません。

HTTPS 証明書検証タイムアウトの問題を解決する方法を複数の専門家に尋ねました。提示された解決策は、証明書プロバイダーを変更するか、OCSP を有効にするというものでした。

私のような貧乏人が大企業から HTTPS 証明書を取得するにはどうすればよいでしょうか? 2 番目の解決策を採用して OCSP を開始するしかありません。

ウェブサイトが無料の Let's Encrypt 証明書を導入している場合、https を使用して初めてウェブサイトを開くと、非常に遅く感じられ、正常に開くまでに 4 ～ 5 秒かかることがよくあります。これは特別な理由によるもので、ocsp.int-x3.letsencrypt.org サーバーの IP を正常に解決できないためです。

ウェブサイトのアクセス エクスペリエンスを向上させるために、OCSP ステープルを有効にして、ウェブサイトに初めてアクセスしたときのアクセスが遅いという問題を解決できます。

この記事の環境:

パゴダパネル

CentOS 7 / Windows 2012 R2

アパッチ/Nginx

1. 海外サーバーのOCSP Staplingを有効にする

1. システムのApacheまたはNginx情報を設定する

Apache は OCSP を有効にします:

① Apache インストール ディレクトリを見つけて、ディレクトリ内の httpd-ssl.conf ファイルを編集します。CentOS システムのディレクトリは /www/server/apache/conf/extra/httpd-ssl.conf で、Windows システムのディレクトリは C:/BtSoft/apache/conf/extra/httpd-ssl.conf です。ファイル内の次の 2 行のコメントを削除します。

SSLUseStapling オン

#CentOS:

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(32768)"

#Windows:

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(32768)"

上記の 2 行がファイルにない場合は、手動で追加します。

②httpd.confファイルを編集します。CentOSのディレクトリは/www/server/apache/conf/httpd.conf、WindowsのディレクトリはC:/BtSoft/apache/conf/httpd.confです。ファイル内の次の行のコメントを解除します。

ロードモジュール socache_shmcb_module モジュール/mod_socache_shmcb.so

上記の行がファイル内に存在しない場合は、手動で追加してください。

③ウェブサイトのApache情報を設定します。ウェブサイトの設定ファイルに以下の情報を追加します。

SSLUseStapling オン

#CentOS:

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(128000)"

#Windows:

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(128000)"

上記の情報は、この行 <VirtualHost *:443> の上に追加できます。

この時点で、Apache で OCSP Stapling が有効になっています。Apache を再起動するだけです。

Nginx は OCSP を有効にします:

ウェブサイトの Nginx 構成ファイルに直接、次の情報を追加します。

サーバー{

聞く 443;

………

ssl_stapling on; # ステープルを有効にする

ssl_stapling_verify on; # ステープル検証を有効にする

…

}

保存してNginxを再起動します。

2. 国内サーバーのOCSP Staplingを有効にする

手順は最初の段落と同じです。OCSP ステープルを有効にした後、hosts ファイルを編集して、ocsp.int-x3.letsencrypt.org サーバーの IP アドレスを指定する必要もあります。

ocsp.int-x3.letsencrypt.org サーバーの IP アドレスは次のとおりです。

23.44.51.8 (アメリカ合衆国)

23.44.51.27 (アメリカ合衆国)

104.109.129.57 (イギリス)

104.109.129.11 (イギリス)

175.45.42.209（香港）

175.45.42.218（香港）

223.119.50.201（香港）

223.119.50.203（香港）

23.32.3.72（東京）

hosts ファイルを編集します。Windows のパスは C:\windows\system32\drivers\etc\hosts で、Linux のパスは /etc/hosts です。次の情報を追加します。

175.45.42.218 ocsp.int-x3.letsencrypt.org

Apache または Nginx を再起動するだけです。

3. OCSPステープルが正常に有効化されているかどうかを確認する

1. SSH で次のコマンドを使用します。

openssl s_client -connect www.yourwebsite.com:443 -servername www.yourwebsite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP 応答"

サイトが OCSP 応答 (応答が送信されませんでした) を返す場合、アクティベーションが失敗したことを意味します。

サイトが OCSP ステープルを正常に有効化した場合、「成功」というプロンプトが返されます。

2. 次の URL を開き、検出する Web サイトを入力します。

https://www.getssl.cn/ocsp

ウェブサイトを初めて開いたときに速度が遅いと感じられ、https を使用している場合は、証明書に問題がないか確認することをお勧めします。

ウェブサイトの起動速度が遅い問題について詳しくは、123WORDPRESS.COM をご覧ください。