蘋果設備在首次訪問由Let's Encrypt頒發證書的網站時,會非常的緩慢。這是因為IOS和MAC系統會默認進行OCSP實時查詢,以保證證書是否被吊銷。由於Let's Encrypt的OSCP域名在國內被牆,導致訪問國內訪問非常緩慢。那么我們如何解決這個問題呢?
主要關鍵詞:IOS系統,MAC系統,letsencrypt,免費證書,HTTPS網站,SSL證書,網站訪問速度
一、首先要了解
1、chrome瀏覽器默認時不進行OCSP實時查詢,也就不會出現這樣的問題。
2、訪問慢主要是OCSP服務器的DNS解析受到影響,而服務器本身的連接並不受影響。
3、OCSP是實時證書在線驗證協議弊端:要求CA機構實時全球高可用,客戶端的訪問隱私可能被泄露,增加瀏覽器的握手延時。
4、來此加密網站,在線版申請SSL證書,支持自動驗證,多域名。
二、解決辦法:OCSP Stapling
對OCSP協議缺陷的彌補,OCSP Stapling實現了服務器可以事先模擬瀏覽器對證書鏈進行驗證,並將帶有CA機構簽名的OCSP驗證結果響應保存到本地。等到真正的握手階段,再將OCSP響應和證書鏈一起下發給瀏覽器,以此避免增加瀏覽器的握手延時。由於瀏覽器不需要直接向 CA 站點查詢證書狀態,這個功能對訪問速度的提升非常明顯。
三、NGINX設置OCSP Stapling
# 啟用OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# valid表示緩存5分鍾
resolver 8.8.8.8 8.8.4.4 valid=300s;
# 網絡超時時間
resolver_timeout 5s;
四、APACHE設置OCSP Stapling
SSLEngine on
# 一些配置
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
五、各大CDN廠商設置OCSP Stapling
1、阿里雲CDN
進入HTTPS設置中,找到OCSP Stapling,啟用即可。
2、騰訊雲CDN
進入HTTPS設置中,找到OCSP裝訂配置,啟用即可。
3、百度雲CDN
進入HTTPS設置中,找到設置OCSP Stapling,啟用即可。
六、如何簡單的申請SSL證書
目前各大雲廠商都提供了免費的SSL證書,但多多少少會遇到各種限制,letsencrypt提供了免費的解決方案。可以通過來此加密快速的獲取證書,無需搭建申請環境,小白也可以使用。
以上就是關於提升HTTPS網站訪問速度的解決辦法,不管你是否使用letsencrypt證書,都建議你開啟OCSP Stapling功能,能最大限度的提升HTTPS網站訪問速度。