解决Let's Encrypt申请的证书苹果手机首次访问慢

苹果设备在首次访问由Let's Encrypt颁发证书的网站时,会非常的缓慢。这是因为IOS和MAC系统会默认进行OCSP实时查询,以保证证书是否被吊销。由于Let's Encrypt的OSCP域名在国内被墙,导致访问国内访问非常缓慢。那么我们如何解决这个问题呢?

主要关键词:IOS系统,MAC系统,letsencrypt,免费证书,HTTPS网站,SSL证书,网站访问速度

一、首先要了解

1、chrome浏览器默认时不进行OCSP实时查询,也就不会出现这样的问题。

2、访问慢主要是OCSP服务器的DNS解析受到影响,而服务器本身的连接并不受影响。

3、OCSP是实时证书在线验证协议弊端:要求CA机构实时全球高可用,客户端的访问隐私可能被泄露,增加浏览器的握手延时。

4、来此加密网站,在线版申请SSL证书,支持自动验证,多域名。

二、解决办法:OCSP Stapling

对OCSP协议缺陷的弥补,OCSP Stapling实现了服务器可以事先模拟浏览器对证书链进行验证,并将带有CA机构签名的OCSP验证结果响应保存到本地。等到真正的握手阶段,再将OCSP响应和证书链一起下发给浏览器,以此避免增加浏览器的握手延时。由于浏览器不需要直接向 CA 站点查询证书状态,这个功能对访问速度的提升非常明显。

三、NGINX设置OCSP Stapling

# 启用OCSP stapling

ssl_stapling on;

ssl_stapling_verify on;

# valid表示缓存5分钟

resolver 8.8.8.8 8.8.4.4 valid=300s;

# 网络超时时间

resolver_timeout 5s;

四、APACHE设置OCSP Stapling

  SSLEngine on

  # 一些配置

SSLUseStapling On

SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

五、各大CDN厂商设置OCSP Stapling

1、阿里云CDN

进入HTTPS设置中,找到OCSP Stapling,启用即可。

2、腾讯云CDN

进入HTTPS设置中,找到OCSP装订配置,启用即可。

3、百度云CDN

进入HTTPS设置中,找到设置OCSP Stapling,启用即可。

 六、如何简单的申请SSL证书

目前各大云厂商都提供了免费的SSL证书,但多多少少会遇到各种限制,letsencrypt提供了免费的解决方案。可以通过来此加密快速的获取证书,无需搭建申请环境,小白也可以使用。

 

以上就是关于提升HTTPS网站访问速度的解决办法,不管你是否使用letsencrypt证书,都建议你开启OCSP Stapling功能,能最大限度的提升HTTPS网站访问速度。

posted @ 2020-12-03 21:35  osfipin  阅读(768)  评论(0编辑  收藏  举报
我是底部