由于大多數(shù)全球權威CA的OCSP站點都設在國外���,當網(wǎng)絡環(huán)境較差、出現(xiàn)網(wǎng)絡故障以及遇到特殊時期網(wǎng)絡封鎖�����,客戶端無法連接到OCSP站點�,或者OCSP站點無法返回證書狀態(tài)內容,導致HTTPS請求可能還沒到多次握手階段���,就先卡在了OCSP環(huán)節(jié)���,直接影響網(wǎng)站的訪問速度,嚴重時造成網(wǎng)站癱瘓無法訪問����。
國內首個OCSP本地化����,實現(xiàn)HTTPS自動化加速
事實上,為了解決OCSP性能問題�����,業(yè)界比較主流的解決辦法是OCSP Stapling�,即服務器可事先模擬瀏覽器對證書鏈進行驗證,并將帶有CA機構簽名的OCSP響應保存到本地�,省去瀏覽器的在線驗證過程。
雖然OCSP Stapling能夠極大提高OCSP性能��,但并不是所有的瀏覽器和容器環(huán)境都支持����,而且需要企業(yè)運維人員手動配置,進行周期性的操作�,這就對企業(yè)自身運維提出了極高的要求,然而大多數(shù)企業(yè)并不具備這樣的專業(yè)能力�����。
值得慶幸的是,一種全新的解決方案已經(jīng)誕生���。目前����,國內權威CA機構天威誠信聯(lián)合DigiCert & Symantec首次面向中國用戶推出了OCSP本地化服務���,由天威誠信簽發(fā)的DigiCert & Symantec SSL證書可以助力國內企業(yè)自動化實現(xiàn)HTTPS訪問加速�����,不再需要專業(yè)運維人員手動配置OCSP Stapling�。
OCSP本地化的原理在于�,將OCSP過程中訪問境外OCSP服務器,轉變?yōu)樵L問國內阿里云鏡像服務器���,通過國內云節(jié)點提供最大程度的低延遲和高性能���,從而為國內企業(yè)提供高效的HTTPS訪問效率。
在測試環(huán)境中�,OCSP本地化的請求返回時間較之以前提升了3-4倍�����。對于金融、電商����、互聯(lián)網(wǎng)等行業(yè)而言,OCSP本地化就像是HTTPS網(wǎng)站的”速效救心丸”���,無論是節(jié)假日���、雙11等流量高峰時期,還是企業(yè)網(wǎng)絡區(qū)域節(jié)點受限��、特殊時期網(wǎng)絡封鎖等場景��,都能夠保障網(wǎng)站/APP在線訪問的穩(wěn)定性���、持續(xù)性和高性能���,有效提升HTTPS網(wǎng)站的訪問速度,解決網(wǎng)絡擁堵的瓶頸����。
如今�����,全網(wǎng)采用HTTPS加密已成不可逆的趨勢��,企業(yè)若要提升HTTPS訪問速度����,不如先從OCSP本地化開始���。
