OCSP Stapling功能是由CDN伺服器查詢OCSP(Online Certificate Status Protocol)資訊,可以降低用戶端驗證請求延遲,減少等待查詢結果的回應時間。通過本文,您可以瞭解OCSP Stapling功能的使用情境和控制台開啟該功能的操作步驟。

前提条件

用戶端必須支援OCSP擴充欄位才能使用OCSP Stapling功能,如果用戶端不支援OCSP擴充欄位,則功能無法生效。
说明
  • OCSP Stapling功能需要您的業務有一定量的QPS以保證全網觸發,QPS過低可能導致配置無法生效。
  • OCSP Stapling功能預設緩衝時間是1小時,緩衝到期後第一個訪問請求OCSP Stapling將不生效,直到重新擷取OCSP Stapling資訊為止。

背景信息

OCSP資訊是由數位憑證頒發機構CA(Certificate Authority)提供,用於線上即時驗證認證的合法性和有效性。

使用者痛點:用戶端(瀏覽器)根據認證中的OCSP資訊,將查詢請求發送到CA的驗證地址,檢查此認證是否合法、有效。在網路狀況不佳的情況下,用戶端在等待擷取查詢結果時,會造成長時間的頁面空白,阻塞您終端使用者的後續操作。返回
解決方案:OCSP Stapling功能將查詢OCSP資訊的工作由CDN伺服器完成。CDN通過低頻次查詢,將查詢結果緩衝到伺服器中(預設緩衝時間60分鐘)。當用戶端向伺服器發起TLS握手請求時,CDN伺服器將認證的OCSP資訊和憑證鏈結一起發送到用戶端。這樣可以避免用戶端驗證會產生的阻塞問題。由於OCSP資訊是無法偽造的,因此這一過程不會產生額外的安全問題。 OCSP查询

操作步骤

  1. 登入 CDN控制台
  2. 在左側導覽列,單擊 域名管理
  3. 域名管理頁面,單擊目標網域名稱對應的 管理
  4. 在指定網域名稱的左側導覽列,單擊 HTTPS配置
  5. OCSP Stapling 地區,開啟 開關