V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
echooo0
V2EX  ›  宽带症候群

在 ios 系统上打开 Let's Encrypt 证书的域名,首开总是很慢

  •  
  •   echooo0 · 2020-08-27 15:14:29 +08:00 · 3540 次点击
    这是一个创建于 1538 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 ios 系统上打开 Let's Encrypt 证书的域名,首开总是很慢,第二次以后就很快了。

    之前因为 LE 证书的 OCSP 域名被污染,在服务器端做了 ocsp stapling,

    然后用这个网址 https://www.ssllabs.com/ssltest 测试了下,网站的 ocsp stapling 是正常开启的

    但是不知道为什么首开还是很慢;在 pc 端的 chrome 上测试,首开就很快(据说 chrome 早就不验证 ocsp 了)

    19 条回复    2020-09-05 10:46:59 +08:00
    chihiro2014
        1
    chihiro2014  
       2020-08-27 15:15:55 +08:00
    其实我觉得 IOS 不管开啥网页都很慢 emm
    echooo0
        2
    echooo0  
    OP
       2020-08-27 15:23:17 +08:00
    @chihiro2014 首开很慢,第二次开很快
    keyfunc
        3
    keyfunc  
       2020-08-27 15:25:34 +08:00
    错觉吧,chrome 不验证 crl 和 ocsp,所以网页速度和证书基本没任何影响
    txx
        4
    txx  
       2020-08-27 15:26:35 +08:00
    放弃吧...我折腾了好几天最后改成阿里云、腾讯云的免费证书证书之后,立刻解决了这个问题。
    chihiro2014
        5
    chihiro2014  
       2020-08-27 15:41:24 +08:00
    @echooo0 主要是讨厌 safari 开网页的时候,后退总给人卡住的感觉
    nigelvon
        6
    nigelvon  
       2020-08-27 15:52:02 +08:00
    这个有结论了,我们之前踩过这个坑,iOS 设备受影响比较多,安卓和 chrome 没事。要么自己配服务器转发 OCSP,要么换证书。
    echooo0
        7
    echooo0  
    OP
       2020-08-27 15:53:53 +08:00
    @nigelvon 自己配服务器转发 OCSP 是啥意思,是不是就是 ocsp stapling,这个已经做了,但是还是没效果
    my2492
        8
    my2492  
       2020-08-27 16:11:38 +08:00 via Android
    @chihiro2014 换个浏览器就不感觉了,自带浏览器要把一堆垃圾都加载完进度条才结束,国内网站到处插入垃圾加载慢不奇怪,1000M 宽带也一样
    cwbsw
        9
    cwbsw  
       2020-08-27 16:19:09 +08:00
    @echooo0
    我自己的墙外 VPS 开了 OCSP Stapling 就解决了,墙内的可能还需要更多处理。
    https://jhuo.ca/post/ocsp-stapling-letsencrypt/
    Meano
        10
    Meano  
       2020-08-27 16:27:33 +08:00
    @echooo0 用 openssl 命令确认下服务端 ocsp 状态,服务端也是需要去缓存的 ocsp file 的,如果服务端缓存就慢或者失败可能并不返回 ocsp response
    echooo0
        11
    echooo0  
    OP
       2020-08-27 17:17:54 +08:00
    @Meano

    我用的不是缓存 ocsp file 的方式

    在 nginx 里面是下面这么配置的,查了文档说 ocsp 在服务端缓存时间一般 48 小时,但是实际体验来看好像远低于 48 小时

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 valid=300s;
    resolver_timeout 2s;
    GM
        12
    GM  
       2020-08-27 17:19:09 +08:00
    @txx 免费证书没有通配符证书,管理起来太麻烦了。
    echooo0
        13
    echooo0  
    OP
       2020-08-27 17:22:29 +08:00
    @cwbsw

    OCSP Stapling 我也开了,楼上我贴了配置,但是感觉好像效果并不好
    echooo0
        14
    echooo0  
    OP
       2020-08-27 17:27:07 +08:00
    @Meano 用 openssl 命令测试了下,OCSP Stapling 的状态是开启的

    OCSP response:
    OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    LnTrx
        15
    LnTrx  
       2020-08-27 17:47:28 +08:00
    @GM Let's Encrypt 在两年前就支持通配符了,结合 DNS 的自动化方案也很成熟了
    Meano
        16
    Meano  
       2020-08-27 18:30:12 +08:00
    @echooo0 我的意思就是缓存在内存或者文件中,需要保证服务器的 dns 没有污染,并且服务器访问 ocsp 服务器连接可靠,stapling 才能正常缓存,看你配了 8.8.8.8,大概率连 ocsp 的域名也是污染掉的。
    echooo0
        17
    echooo0  
    OP
       2020-08-27 21:52:33 +08:00
    @Meano 8.8.8.8 这个之前有测过,没有污染。不过这个 dns 在某些特殊时期会抽风倒是真的

    服务器的 dns 这块,ocsp 的域名已经写到 hosts 文件了。

    至于 stapling 是否正常缓存,我觉得 OCSP Response Status: successful 应该代表已经正常缓存了吧。。。难道还有其他

    状态?
    billzhuang
        18
    billzhuang  
       2020-08-28 14:18:41 +08:00
    wireshark 贴一个
    bclerdx
        19
    bclerdx  
       2020-09-05 10:46:59 +08:00 via Android
    @echooo0 ocsp 域名怎么写到 hosts 里呢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1102 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:45 · PVG 06:45 · LAX 14:45 · JFK 17:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.