解决Let's Encrypt申请的证书苹果手机首次访问慢

苹果设备在首次访问由Let's Encrypt颁发证书的网站时，会非常的缓慢。这是因为IOS和MAC系统会默认进行OCSP实时查询，以保证证书是否被吊销。由于Let's Encrypt的OSCP域名在国内被墙，导致访问国内访问非常缓慢。那么我们如何解决这个问题呢？

主要关键词：IOS系统，MAC系统，letsencrypt，免费证书，HTTPS网站，SSL证书，网站访问速度

一、首先要了解

1、chrome浏览器默认时不进行OCSP实时查询，也就不会出现这样的问题。

2、访问慢主要是OCSP服务器的DNS解析受到影响，而服务器本身的连接并不受影响。

3、OCSP是实时证书在线验证协议弊端：要求CA机构实时全球高可用，客户端的访问隐私可能被泄露，增加浏览器的握手延时。

4、来此加密网站，在线版申请SSL证书，支持自动验证，多域名。

二、解决办法：OCSP Stapling

对OCSP协议缺陷的弥补，OCSP Stapling实现了服务器可以事先模拟浏览器对证书链进行验证，并将带有CA机构签名的OCSP验证结果响应保存到本地。等到真正的握手阶段，再将OCSP响应和证书链一起下发给浏览器，以此避免增加浏览器的握手延时。由于浏览器不需要直接向 CA 站点查询证书状态，这个功能对访问速度的提升非常明显。

三、NGINX设置OCSP Stapling

# 启用OCSP stapling

ssl_stapling on;

ssl_stapling_verify on;

# valid表示缓存5分钟

resolver 8.8.8.8 8.8.4.4 valid=300s;

# 网络超时时间

resolver_timeout 5s;

四、APACHE设置OCSP Stapling

  SSLEngine on

  # 一些配置

SSLUseStapling On

SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

五、各大CDN厂商设置OCSP Stapling

1、阿里云CDN

进入HTTPS设置中，找到OCSP Stapling，启用即可。

2、腾讯云CDN

进入HTTPS设置中，找到OCSP装订配置，启用即可。

3、百度云CDN

进入HTTPS设置中，找到设置OCSP Stapling，启用即可。

 六、如何简单的申请SSL证书

目前各大云厂商都提供了免费的SSL证书，但多多少少会遇到各种限制，letsencrypt提供了免费的解决方案。可以通过来此加密快速的获取证书，无需搭建申请环境，小白也可以使用。

 

以上就是关于提升HTTPS网站访问速度的解决办法，不管你是否使用letsencrypt证书，都建议你开启OCSP Stapling功能，能最大限度的提升HTTPS网站访问速度。