Протоколи OCSP ба шумо имкон медиҳад, ки шаҳодатномаи SSL-ро санҷед. Ҳангоми кушодани сомона, браузер мекӯшад, ки ба сервери OCSP муроҷиат кунад ва дар бораи ин шаҳодатнома маълумот гиред. Ин ба суръати кор таъсир мерасонад, зеро сервери OCSP метавонад аз сервере, ки дар он ҷой ҷойгир аст, бештар бошад.
Зарурияти OCSP имкон медиҳад, ки сервери веб серверро ба сервери сертификатори сертификатсупорӣ пешниҳод намояд. Ин ба суръати кор ба таъсири мусбат таъсир мерасонад. Баъд аз ҳама, браузер лозим нест, ки бевосита ба сервери нопурра пайваст шавад.
Умуман, барои нусхагузорӣ кардан ба nginx, шумо бояд шаҳодатномаи решаи нашрӣ дошта бошед. Шаҳодатномаи решаи асосии StartSSL метавонад дар инҷо зеркашӣ карда шавад: startsl.com/root . Дар ин ҳолат шумо аввал бояд ба ҳисоби худ ворид шавед.
Аммо шумо метавонед бевосита зеркашӣ кунед:
wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt
Баъдан, дар конфигураи сомона бо шаҳодат аз StartSSL (ё дар файли конфронсии глобалии сервер, агар ҳамаи сомонаҳо аз StartSSL дорои шаҳодатнома бошанд), параграфро, ки қадамро дар бар мегирад, нависед:
НОҲИЯИ ДАНҒАРА
Пас parameter, ки шаҳодатномаи реша дорад, ки мо қаблан бор карда будем:
ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt;
Ё ҳатто мо метавонем роҳро ба шаҳодатномаҳои решавӣ, ки бо пакетҳои openssl меояд, муайян карда тавонем:
ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem;
Ва, муҳимтар аз ҳама, чуқурии тасдиқкунии занҷири сертификатсия. Бо нобаёнӣ, ин параметр 1 мебошад.
ssl_verify_depth 3;
Дар оғоз дараҷаи ҳадди аққали 3 дорад. Ин сертификати реша, шаҳодатномаи мобайнии StartCom Class 1 DV Server Server CA ва бевосита сертификати сомонаи худро санҷидааст. Бо ин ҳол, қадам ба қафо намерасад.
Ҳамчунин, дар мақолаҳои зиёде тавсия дода мешавад, ки параметрҳои resolver
барои муайян кардани IP-и серверҳои OCSP. Аммо он барои ман бе кор буд. Баъд аз тағир додани файл, nginx бозоғоз накунед. ;)
Шумо метавонед амалиёти ҷудокуниро дар вебсайтҳо тафтиш кунед: https://www.digicert.com/help/ ва https://ssllabs.com .