Nginx 启用 OCSP Stapling的配置

1. 什么是OCSP stapling?

OCSP的全称是Online Certificate Status Protocol，即在线证书状态协议。顾名思义，它是一个用于检查证书状态的协议，浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看https://www.baidu.com的证书详情，可以看到OCSP的查询地址：

浏览器需要发送请求到这个地址来验证证书状态。

OCSP存在隐私和性能问题。一方面，浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构)，会暴露网站的访客(Let’s Encrypt会知道哪些用户在访问Fundebug)；另一方面，浏览器进行OCSP查询会降低HTTPS性能(如访问您的站点会变慢)。

为了解决OCSP存在的2个问题，就有了OCSP stapling。由网站服务器去进行OCSP查询，缓存查询结果，然后在与浏览器进行TLS连接时返回给浏览器，这样浏览器就不需要再去查询了。这样解决了隐私和性能问题。

2. Nginx的OCSP stapling完整配置如下：(此处省略了其他无关的配置选项)

http

{

    resolver 127.0.0.1;

    server

    {

        ssl_stapling on;

        ssl_stapling_verify on;

        ssl_trusted_certificate *.pem文件地址;

    }

}