苹果设备在首次访问由Let’s Encrypt颁发证书的网站时,会非常的缓慢。这是因为IOS和MAC系统会默认进行OCSP实时查询,以保证证书是否被吊销。由于Let’s Encrypt的OSCP域名在国内被墙,导致访问国内访问非常缓慢。那么我们如何解决这个问题呢?
主要关键词:IOS系统,MAC系统,letsencrypt,免费证书,HTTPS网站,SSL证书,网站访问速度
一、首先要了解
1、chrome浏览器默认时不进行OCSP实时查询,也就不会出现这样的问题。
2、访问慢主要是OCSP服务器的DNS解析受到影响,而服务器本身的连接并不受影响。
3、OCSP是实时证书在线验证协议弊端:要求CA机构实时全球高可用,客户端的访问隐私可能被泄露,增加浏览器的握手延时。
4、来此加密网站,在线版申请SSL证书,支持自动验证,多域名。
二、解决办法:OCSP Stapling
对OCSP协议缺陷的弥补,OCSP Stapling实现了服务器可以事先模拟浏览器对证书链进行验证,并将带有CA机构签名的OCSP验证结果响应保存到本地。等到真正的握手阶段,再将OCSP响应和证书链一起下发给浏览器,以此避免增加浏览器的握手延时。由于浏览器不需要直接向 CA 站点查询证书状态,这个功能对访问速度的提升非常明显。
三、NGINX设置OCSP Stapling
# 启用OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# valid表示缓存5分钟
resolver 8.8.8.8 8.8.4.4 valid=300s;
# 网络超时时间
resolver_timeout 5s;
四、APACHE设置OCSP Stapling
SSLEngine on
# 一些配置
SSLUseStapling On
SSLStaplingCache “shmcb:logs/ssl_stapling(32768)”
五、各大cdn厂商设置OCSP Stapling
1、阿里云CDN
进入HTTPS设置中,找到OCSP Stapling,启用即可。
2、腾讯云CDN
进入HTTPS设置中,找到OCSP装订配置,启用即可。
3、百度云CDN
进入HTTPS设置中,找到设置OCSP Stapling,启用即可。
六、如何简单的申请SSL证书
目前各大云厂商都提供了免费的SSL证书,但多多少少会遇到各种限制,letsencrypt提供了免费的解决方案。可以通过来此加密快速的获取证书,无需搭建申请环境,小白也可以使用。
以上就是关于提升HTTPS网站访问速度的解决办法,不管你是否使用letsencrypt证书,都建议你开启OCSP Stapling功能,能最大限度的提升HTTPS网站访问速度。
原文链接:https://www.cnblogs.com/osfipin/p/14083068.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/7197
