使用 AFNetworking 请求 https 的接口，首个请求耗时 3s 左右，后续的请求 0.5s，怀疑是证书验证比较耗时，请问怎么优化？

会不会是后端的 cold start?

直接用 curl 能复现么？

服务器端抓包看一下

检查 CRL

服务器端 nginx 收到请求也有延迟，nginx 的日志在客户端启动后约 3s 打印出来

不太可能是后端问题，iOS 端配置好 charles 的代理，请求就正常了。charles 要安装个证书在手机上，这部分原理不是很清楚，怀疑是不是减少了证书验证环节，证书验证在电脑上的 charles 上进行了。

是不是用了 let's encrypt，我遇到过这个问题，原因是有些 dns 被 Q，换证书解决。

@wowbaby 是的，用的 let's encrypt，你后续换的什么证书？

@wowbaby 安卓端没有这个问题，证书验证逻辑不一样？

之前刚碰到这个问题，坑了我们很久，在不同的 iOS 手机型号和版本上的现象还不一致，安卓手机上未发现。

最终检查出来是因为 let's encrypt 的证书 OSCP 服务器域名被 DNS 污染，导致首个请求验证 OSCP 时响应超时。
关于 let's encrypt 的 OSCP 服务器被 DNS 污染 v 站之前有讨论过，详见：
https://www.v2ex.com/t/665734
https://www.v2ex.com/t/661753

目前解决方案有两种，
1. 更换非 let's encrypt 证书，避免访问被污染的 OSCP 服务器

2. 在 nginx 配置开启 ssl_stapling，并指定未被污染的 DNS 服务器。由服务器进行请求 OSCP 认证缓存后发送给客户端。
配置方法：
在 nginx 的 http 配置内添加
```
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 4.4.4.4 valid=60s;
resolver_timeout 2s;
```

由于我们使用了 let's encrypt 提供的通配符证书，没有其他平台能提供免费的通配符证书。
所以我们当前使用方案 2 来解决

开启 ocsp 装订。或者换一个证书品牌，阿里云和 trustasia 都可以申请免费的一年单域名。我是 269 买了个 comodo 一年的通配符。

@lanternxx 老兄你在哪买的，才 269 ？

@qwerthhusn #11 https://item.taobao.com/item.htm?id=613109712119 这家，和客服说 V2EX 来的可以改价 269

wireshark 在手机上抓个包看看。

https://imququ.com/post/optimize-tls-handshake.html 这文章说的握手流程都可以看看

如果 Let's Encrypt 证书，基本上就是 OCSP 服务器域名被污染的问题。
建议在服务器上开 SSL Stapling 。

直接阿里云免费走起.

之前也遇到过在 iOS 特定的系统和机型上的网页首次访问 HTTPS 请求特别慢的问题。我们是换了证书。应该是相同情况。

let's encrypt +1