在 ios 系统上打开 Let's Encrypt 证书的域名,首开总是很慢

2020-08-27 15:14:29 +08:00
 echooo0

在 ios 系统上打开 Let's Encrypt 证书的域名,首开总是很慢,第二次以后就很快了。

之前因为 LE 证书的 OCSP 域名被污染,在服务器端做了 ocsp stapling,

然后用这个网址 https://www.ssllabs.com/ssltest 测试了下,网站的 ocsp stapling 是正常开启的

但是不知道为什么首开还是很慢;在 pc 端的 chrome 上测试,首开就很快(据说 chrome 早就不验证 ocsp 了)

3549 次点击
所在节点    宽带症候群
19 条回复
chihiro2014
2020-08-27 15:15:55 +08:00
其实我觉得 IOS 不管开啥网页都很慢 emm
echooo0
2020-08-27 15:23:17 +08:00
@chihiro2014 首开很慢,第二次开很快
keyfunc
2020-08-27 15:25:34 +08:00
错觉吧,chrome 不验证 crl 和 ocsp,所以网页速度和证书基本没任何影响
txx
2020-08-27 15:26:35 +08:00
放弃吧...我折腾了好几天最后改成阿里云、腾讯云的免费证书证书之后,立刻解决了这个问题。
chihiro2014
2020-08-27 15:41:24 +08:00
@echooo0 主要是讨厌 safari 开网页的时候,后退总给人卡住的感觉
nigelvon
2020-08-27 15:52:02 +08:00
这个有结论了,我们之前踩过这个坑,iOS 设备受影响比较多,安卓和 chrome 没事。要么自己配服务器转发 OCSP,要么换证书。
echooo0
2020-08-27 15:53:53 +08:00
@nigelvon 自己配服务器转发 OCSP 是啥意思,是不是就是 ocsp stapling,这个已经做了,但是还是没效果
my2492
2020-08-27 16:11:38 +08:00
@chihiro2014 换个浏览器就不感觉了,自带浏览器要把一堆垃圾都加载完进度条才结束,国内网站到处插入垃圾加载慢不奇怪,1000M 宽带也一样
cwbsw
2020-08-27 16:19:09 +08:00
@echooo0
我自己的墙外 VPS 开了 OCSP Stapling 就解决了,墙内的可能还需要更多处理。
https://jhuo.ca/post/ocsp-stapling-letsencrypt/
Meano
2020-08-27 16:27:33 +08:00
@echooo0 用 openssl 命令确认下服务端 ocsp 状态,服务端也是需要去缓存的 ocsp file 的,如果服务端缓存就慢或者失败可能并不返回 ocsp response
echooo0
2020-08-27 17:17:54 +08:00
@Meano

我用的不是缓存 ocsp file 的方式

在 nginx 里面是下面这么配置的,查了文档说 ocsp 在服务端缓存时间一般 48 小时,但是实际体验来看好像远低于 48 小时

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 2s;
GM
2020-08-27 17:19:09 +08:00
@txx 免费证书没有通配符证书,管理起来太麻烦了。
echooo0
2020-08-27 17:22:29 +08:00
@cwbsw

OCSP Stapling 我也开了,楼上我贴了配置,但是感觉好像效果并不好
echooo0
2020-08-27 17:27:07 +08:00
@Meano 用 openssl 命令测试了下,OCSP Stapling 的状态是开启的

OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
LnTrx
2020-08-27 17:47:28 +08:00
@GM Let's Encrypt 在两年前就支持通配符了,结合 DNS 的自动化方案也很成熟了
Meano
2020-08-27 18:30:12 +08:00
@echooo0 我的意思就是缓存在内存或者文件中,需要保证服务器的 dns 没有污染,并且服务器访问 ocsp 服务器连接可靠,stapling 才能正常缓存,看你配了 8.8.8.8,大概率连 ocsp 的域名也是污染掉的。
echooo0
2020-08-27 21:52:33 +08:00
@Meano 8.8.8.8 这个之前有测过,没有污染。不过这个 dns 在某些特殊时期会抽风倒是真的

服务器的 dns 这块,ocsp 的域名已经写到 hosts 文件了。

至于 stapling 是否正常缓存,我觉得 OCSP Response Status: successful 应该代表已经正常缓存了吧。。。难道还有其他

状态?
billzhuang
2020-08-28 14:18:41 +08:00
wireshark 贴一个
bclerdx
2020-09-05 10:46:59 +08:00
@echooo0 ocsp 域名怎么写到 hosts 里呢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/701912

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX