OCSP Stapling功能可實現由DCDN預先緩衝線上認證驗證結果並下發給用戶端,無需用戶端直接向CA網站查詢認證狀態,從而減少認證驗證時間,提升使用者訪問速度。
功能說明
OCSP(Online Certificate Status Protocol,線上憑證狀態通訊協定)是由數位憑證頒發機構CA(Certificate Authority)提供,用戶端通過OCSP可即時驗證認證的合法性和有效性。
未開啟OCSP Stapling時:用戶端的每次請求都會向CA進行OCSP查詢,以確認認證未被吊銷,頻繁的OCSP查詢請求導致TLS握手效率較低,將影響使用者訪問速度。
開啟OCSP Stapling功能後,OCSP資訊查詢的工作將由DCDN伺服器完成。DCDN通過低頻次查詢,將查詢結果緩衝到伺服器中(預設緩衝時間60分鐘)。當用戶端向伺服器發起TLS握手請求時,DCDN伺服器將認證的OCSP資訊和認證一起發送給用戶端,無需再向數位憑證認證機構(CA)發送查詢請求。極大地提高了TLS握手效率,節省了認證驗證時間。
OCSP Stapling功能預設關閉。
OCSP Stapling功能預設緩衝時間是1小時,緩衝到期後第一個訪問請求OCSP Stapling將不生效,直到重新擷取OCSP Stapling資訊為止。
配置了HTTPS加速的網域名稱,可啟用或者關閉OCSP Stapling功能,刪除HTTPS認證配置後,OCSP Stapling功能會同步失效。
OCSP資訊是無法偽造的,因此這一過程不會產生額外的安全問題。
前提條件
執行配置前,請您確保:
您已成功配置HTTPS認證,操作方法請參見配置HTTPS認證。
OCSP Stapling功能預設緩衝時間是1小時,緩衝到期後第一個訪問請求OCSP Stapling將不生效,直到重新擷取OCSP Stapling資訊為止。
您的業務有一定量的QPS以保證全網觸發,QPS過低可能導致配置無法生效。
操作步驟
登入DCDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,單擊目標網域名稱對應的配置。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
在OCSP Stapling地區,開啟OCSP Stapling開關,即可完成配置。
