OCSP Stapling功能可實現由CDN預先緩存在線證書驗證結果并下發給客戶端,無需客戶端直接向CA站點查詢證書狀態,從而減少證書驗證時間,提升用戶訪問速度。
功能說明
OCSP(Online Certificate Status Protocol,在線證書狀態協議)是由數字證書頒發機構CA(Certificate Authority)提供,客戶端通過OCSP可實時驗證證書的合法性和有效性。
未開啟OCSP Stapling時:客戶端的每次請求都會向CA進行OCSP查詢,以確認證書未被吊銷,頻繁的OCSP查詢請求導致TLS握手效率較低,將影響用戶訪問速度。
開啟OCSP Stapling功能后,OCSP信息查詢的工作將由CDN服務器完成。CDN通過低頻次查詢,將查詢結果緩存到服務器中(默認緩存時間60分鐘)。當客戶端向服務器發起TLS握手請求時,CDN服務器將證書的OCSP信息和證書一起發送給客戶端,無需再向數字證書認證機構(CA)發送查詢請求。極大地提高了TLS握手效率,節省了證書驗證時間。
OCSP Stapling功能默認關閉。
OCSP Stapling功能默認緩存時間是1小時,緩存過期后第一個訪問請求OCSP Stapling將不生效,直到重新獲取OCSP Stapling信息為止。
配置了HTTPS加速的域名,可啟用或者關閉OCSP Stapling功能,刪除HTTPS證書配置后,OCSP Stapling功能會同步失效。
OCSP信息是無法偽造的,因此這一過程不會產生額外的安全問題。
前提條件
執行配置前,請您確保:
您已成功配置HTTPS證書,操作方法請參見配置HTTPS證書。
客戶端需支持OCSP擴展字段,如果客戶端版本不支持OCSP擴展字段,則功能無法生效。
操作步驟
登錄CDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,找到目標域名,單擊操作列的管理。
在指定域名的左側導航欄,單擊HTTPS配置。
在OCSP Stapling區域,打開或關閉開關。