在 ios 系统上打开 Let's Encrypt 证书的域名,首开总是很慢,第二次以后就很快了。
之前因为 LE 证书的 OCSP 域名被污染,在服务器端做了 ocsp stapling,
然后用这个网址 https://www.ssllabs.com/ssltest 测试了下,网站的 ocsp stapling 是正常开启的
但是不知道为什么首开还是很慢;在 pc 端的 chrome 上测试,首开就很快(据说 chrome 早就不验证 ocsp 了)
1
chihiro2014 2020-08-27 15:15:55 +08:00
其实我觉得 IOS 不管开啥网页都很慢 emm
|
2
echooo0 OP @chihiro2014 首开很慢,第二次开很快
|
3
keyfunc 2020-08-27 15:25:34 +08:00
错觉吧,chrome 不验证 crl 和 ocsp,所以网页速度和证书基本没任何影响
|
4
txx 2020-08-27 15:26:35 +08:00
放弃吧...我折腾了好几天最后改成阿里云、腾讯云的免费证书证书之后,立刻解决了这个问题。
|
5
chihiro2014 2020-08-27 15:41:24 +08:00
@echooo0 主要是讨厌 safari 开网页的时候,后退总给人卡住的感觉
|
6
nigelvon 2020-08-27 15:52:02 +08:00
这个有结论了,我们之前踩过这个坑,iOS 设备受影响比较多,安卓和 chrome 没事。要么自己配服务器转发 OCSP,要么换证书。
|
7
echooo0 OP @nigelvon 自己配服务器转发 OCSP 是啥意思,是不是就是 ocsp stapling,这个已经做了,但是还是没效果
|
8
my2492 2020-08-27 16:11:38 +08:00 via Android
@chihiro2014 换个浏览器就不感觉了,自带浏览器要把一堆垃圾都加载完进度条才结束,国内网站到处插入垃圾加载慢不奇怪,1000M 宽带也一样
|
9
cwbsw 2020-08-27 16:19:09 +08:00
@echooo0
我自己的墙外 VPS 开了 OCSP Stapling 就解决了,墙内的可能还需要更多处理。 https://jhuo.ca/post/ocsp-stapling-letsencrypt/ |
10
Meano 2020-08-27 16:27:33 +08:00
@echooo0 用 openssl 命令确认下服务端 ocsp 状态,服务端也是需要去缓存的 ocsp file 的,如果服务端缓存就慢或者失败可能并不返回 ocsp response
|
11
echooo0 OP @Meano
我用的不是缓存 ocsp file 的方式 在 nginx 里面是下面这么配置的,查了文档说 ocsp 在服务端缓存时间一般 48 小时,但是实际体验来看好像远低于 48 小时 ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 valid=300s; resolver_timeout 2s; |
14
echooo0 OP @Meano 用 openssl 命令测试了下,OCSP Stapling 的状态是开启的
OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response |
16
Meano 2020-08-27 18:30:12 +08:00
@echooo0 我的意思就是缓存在内存或者文件中,需要保证服务器的 dns 没有污染,并且服务器访问 ocsp 服务器连接可靠,stapling 才能正常缓存,看你配了 8.8.8.8,大概率连 ocsp 的域名也是污染掉的。
|
17
echooo0 OP @Meano 8.8.8.8 这个之前有测过,没有污染。不过这个 dns 在某些特殊时期会抽风倒是真的
服务器的 dns 这块,ocsp 的域名已经写到 hosts 文件了。 至于 stapling 是否正常缓存,我觉得 OCSP Response Status: successful 应该代表已经正常缓存了吧。。。难道还有其他 状态? |
18
billzhuang 2020-08-28 14:18:41 +08:00
wireshark 贴一个
|