功能介绍
OCSP(Online Certificate Status Protocol,在线证书状态协议),是由数字证书颁发机构CA(Certificate Authority)提供的一个在线证书查询接口,它建立一个可实时响应的机制,客户端发送查询证书请求到CA服务器,然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口,并在获得查询结果前会阻塞后续流程,在网络不佳时会造成较长时间的页面空白,降低HTTPS性能,严重影响用户体验。
开启OCSP装订(OCSP Stapling)功能后,由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时,CDN服务器将证书的OCSP信息和证书一起发送到客户端,供用户验证,无需用户再向数字证书认证机构(CA)发送查询请求。极大地提高TLS握手效率,提升HTTPS性能。
由于OCSP响应是无法伪造的,因此这一过程也不会产生额外的安全问题。
适用场景
开启HTTPS功能后希望提升TLS握手效率,提升HTTPS性能,使网站访问速度更快,用户体验更好。
注意事项
- 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。
- OCSP Stapling功能默认关闭。
- OCSP Stapling功能默认缓存1个小时,缓存过期后第一个访问请求OCSP Stapling不生效。
- 客户端需支持OCSP扩展字段,如果客户端不支持OCSP扩展字段,则该功能无法生效。
配置说明
- 登录CDN控制台。
- 单击左侧导航栏【域名管理】-【域名列表】。
- 在【域名列表】页面,找到目标域名,单击【操作】列的【编辑】。
- 单击右侧【请求协议】。
- 在【请求协议】模块,勾选【HTTPS】。
- 单击右侧【HTTPS配置】。
- 在【证书】模块,选择域名对应的证书。如果已经在【证书管理】上传证书,可直接选择对应域名证书。如果还未上传证书,可单击【点击上传】,添加自有证书。添加完毕后,再选择对应证书。
- 在【OCSP Stapling】模块,开启功能。
- 单击【保存】,完成配置。
参数名 | 说明 |
---|---|
OCSP Stapling | 默认关闭,即不开启OCSP Stapling功能。开启OCSP Stapling功能之前,需要先完成HTTPS证书配置。 |