環境:
centos 7.6
tengine 2.3.0
openssl 1.0.2k
近日 業務部門反映說蘋果手機打開相關站點時間過長 安卓手機沒問題
遂開始排查
發現 在蘋果手機 IOS 13.4以下的系統中
不管是在微信還是用safari打開網頁 時間都會明顯長於安卓 IOS 升級到13.4.1后問題消失
使用mac 調試顯示 TCP SSL 相關時間在3s+
目前使用的是 Let's Encrypt 的證書
更換HTTPS證書后問題消失
現象如下圖
下圖是更換證書后的情況
請問各位誰知道這是什么原因 怎樣解決?
如果有什么需要補充的 請留言 我盡快補充!
感謝各位
----------------------------------------------------------------------------------------
更新一下
這個已經知道原因了,Let's Encrypt 證書的OCSP地址 ocsp.int-x3.letsencrypt.org 被某種神秘力量所影響
沒法正確解析dns了,chrome里好像 默認不在客戶端檢測ocsp,safari和ios就不行。
有兩種解決辦法:
1.更換證書,這個沒啥說的
2.讓客戶端可以正常訪問ocsp,這里分兩種情況:
1.客戶端FQ
2.服務器做ocsp stapling,讓ocsp請求通過自己的服務器來做,解決這個問題
因為這次神秘力量比較奇怪,只影響DNS解析,沒有影響TCP連接,所以可以在服務器做DNS解析
ocsp.int-x3.letsencrypt.org => 23.59.247.250,23.59.247.8 (這里我是用國外服務器ping了一下拿的這個地址,大家隨意)
留下Nginx配置做個紀念
http
{
resolver 127.0.0.1;#oscp stapling必須使用DNS解析的地址,本地搭一個即可
server
{
ssl_stapling on;
ssl_stapling_verify on;
}
}
最后在說一句話,GFW牛逼= =