Wireshark无法抓取OCSP Stapling信息

想了解OCSP Stapling的请先阅读:什么是OCSP Stapling

想了解为什么OCSP Stapling可以对网络性能优化,降低TLS阶段耗时的请先阅读:CDN通过openresty库实现ocsp stapling,有效提升客户端回源效率

背景

近期在做APP端网络性能优化,为了降低TLS阶段耗时,决定开启OCSP Stapling功能。为了验证开启OCSP Stapling开关后,OCSP Stapling请求是否生效,需要借助Wireshark抓包工具进行抓包,查看对应的CDN product.example.com域名请求是否以OCSP Stapling方式执行。

遇到的问题

正常情况下已实现OCSP Stapling的域名请求在Server Hello的时候,服务端就会把Certifcate Status 下发给用户。如下图

但我自己在本地使用Wireshark(v3.4.7)却无法正常抓取到OCSP Stapling信息。如下图,TLS握手Server Hello阶段仅返回了Change Cipher Spec,Application Data信息,缺失Certifcate Status

解决方案

使用openssl命令进行验证OCSP Stapling是否生效。

openssl s_client -connect 203.107.51.50:443 -servername product.example.com -status

其中服务端IP地址203.107.51.50可以借助Wireshark抓取。通过TLS握手Client Hello阶段的拓展字段server_name查找到域名product.example.com,对应的服务端IP地址就是Destination这列的值。

 OCSP Stapling已生效截图如下:可以看到OCSP Response Status:successful表示服务端成功返回OCSP信息。

OCSP Stapling未生效截图如下:可以看到OCSP response:no response sent表示服务端未返回OCSP信息。

你可能感兴趣的:(Wireshark无法抓取OCSP Stapling信息)