SSL/TLS sertifikatining ishonchliligini tekshirish jarayoni saytni ochishning birinchi soniyalariga sezilarli vaqt qo'shadi. Brauzer har bir HTTPS ulanishda sertifikat haqiqatan ham haqiqiy ekanligini, bekor qilinmaganligini sertifikat chiqargan organdan (CA) so'rab oladi. Bu so'rov OCSP (Online Certificate Status Protocol) deb ataladi va u o'rtacha 100-300 millisekund qo'shimcha kechikishga sabab bo'ladi. OCSP stapling esa shu kechikishni deyarli nolga tushiradigan zo'r texnologiya. Keling, uni batafsil ko'rib chiqamiz.
OCSP nima va u qanday ishlaydi
Brauzer sertifikatni qabul qilgach, u sertifikatdagi OCSP responder URL manziliga so'rov yuboradi: "shu sertifikat hali haqiqiymi yoki bekor qilinganmi?". CA serveri javob qaytaradi va brauzer agar sertifikat haqiqiy bo'lsa, ulanishni davom ettiradi. Bu jarayon har bir brauzer va har bir ulanishda takrorlanadi, bu esa OCSP serveriga juda katta yuk tushiradi va foydalanuvchi tezligini sezilarli sekinlashtiradi.
OCSP stapling tamoyili
OCSP stapling da brauzer emas, server o'zi oldindan CA dan OCSP javobini oladi va uni sertifikat bilan birga "stapled" qilib brauzerga uzatadi. Server bu javobni odatda har 1-2 soatda yangilab turadi va keshlaydi. Natijada brauzer endi alohida OCSP so'rovni yubormaydi — barcha kerakli ma'lumot SSL handshake jarayonida darhol keladi. Bu 100-300 ms vaqtni tejaydi.
Nginx da OCSP stapling sozlash
Nginx da sozlash uchun server blokida quyidagi yo'riqlarni qo'shing: ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/fullchain.pem; resolver 8.8.8.8 8.8.4.4 valid=300s. Bu yerda ssl_trusted_certificate intermediate va root sertifikatlar bo'lgan fayl, resolver esa DNS so'rovlar uchun ishlatiladi (Nginx OCSP serveri manzilini DNS orqali topadi). Sozlashdan keyin nginx -t bilan tekshirib, reload qiling.
Apache da OCSP stapling sozlash
Apache da SSLUseStapling On, SSLStaplingCache "shmcb:/var/run/ocsp(128000)", SSLStaplingResponseMaxAge 86400 va SSLStaplingStandardCacheTimeout 3600 yo'riqlari ishlatiladi. SSLStaplingCache global konfiguratsiyada bo'lishi kerak, qolganlari esa virtual host ichida. Sozlash to'g'ri ekanligini tekshirish uchun openssl s_client -connect domain.uz:443 -status buyrug'ini ishlatib, OCSP Response Status: successful yozuvini ko'rishingiz mumkin.
Tezlik foydasi va monitoring
OCSP stapling yoqilgach SSL handshake vaqti 25-40% qisqaradi, bu esa sayt yuklanishida 200-500 ms tezlik beradi. Mobil internetda bu farq yanada sezilarli — 800 ms gacha tejash mumkin. Stapling holatini monitoring qilish uchun SSL Labs testi yoki ssl-cert-check.net dan foydalanish mumkin. Stapling ishlamasligi sertifikat tezligini sekinlashtiradi, lekin xavfsizlikka ta'sir qilmaydi.
Sayt.uz amaliyot
Sayt.uz mijozlarining 91% OCSP stapling yoqilgan saytlardan foydalanadi. Bizning serverlarimizda stapling default holatda yoqilgan, qo'shimcha sozlash kerak emas. Stapling natijasida sayt yuklanish tezligi o'rtacha 340 ms tezlashadi. Mustaqil VPS larda sozlash xizmati 50 000 so'm bir martalik, oylik monitoring 25 000 so'm. Mijozlarimizning SSL handshake o'rtacha vaqti 180 ms, sanoat o'rtachasi esa 420 ms.