這幾天網站訪問出現(xiàn)第一次打開網站特別慢，打開以后頁面打開速度正常的問題，經過研究發(fā)現(xiàn)是HTTPS證書驗證超時的問題，證書商的驗證URL無法訪問不知道是線路問題還是被墻了。

請教了幾位大神如何解決HTTPS證書驗證超時的問題.給出的解決方案是要么換證書商，要么開啟OCSP。

我這種窮人哪用得起大廠的HTTPS證書呀，只能采用第二種方案，開始OCSP。

如果網站部署了免費的Let's Encrypt證書時，第一次https打開此網站時會顯得很慢，往往需要等待四五秒才能正常打開，這是由于特殊原因，ocsp.int-x3.letsencrypt.org服務器IP無法正常被解析。

為了提升網站訪問體驗，可以開啟OCSP Stapling，解決第一次訪問網站時很慢的問題。

本文環(huán)境：

寶塔面板

CentOS 7 / Windows 2012 R2

Apache / Nginx

一、針對海外服務器開啟OCSP Stapling

1、配置系統(tǒng)的Apache或Nginx信息

Apache開啟OCSP：

①找到Apache安裝目錄，編輯目錄下的httpd-ssl.conf文件，CentOS系統(tǒng)中的目錄為：/www/server/apache/conf/extra/httpd-ssl.conf，Windows系統(tǒng)中的目錄為：C:/BtSoft/apache/conf/extra/httpd-ssl.conf，去掉文件中以下兩行的注釋：

SSLUseStapling On

#CentOS：

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(32768)"

#Windows：

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(32768)"

如果文件中沒有以上這兩行，則手動添加進去。

②編輯httpd.conf文件，CentOS系統(tǒng)中的目錄為：/www/server/apache/conf/httpd.conf，Windows系統(tǒng)中的目錄為：C:/BtSoft/apache/conf/httpd.conf，去掉文件中以下這行的注釋：

LoadModule socache_shmcb_module modules/mod_socache_shmcb.so

如果文件中沒有以上這行，則手動添加進去。

③配置網站的Apache信息，在網站的配置文件中，添加如下信息：

SSLUseStapling On

#CentOS：

SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(128000)"

#Windows：

SSLStaplingCache "shmcb:C:/BtSoft/apache/logs/ssl_stapling(128000)"

以上信息可以添加在這一行<VirtualHost *:443>的上面。

至此，Apache已經開啟了OCSP Stapling，重啟Apache即可。

Nginx開啟OCSP：

直接在網站的Nginx配置文件中，添加如下信息：

server {

listen 443;

………

ssl_stapling on; #開啟stapling

ssl_stapling_verify on; #開啟stapling驗證

……

}

保存，重啟Nginx即可。

二、針對內陸服務器開啟OCSP Stapling

步驟和第一段的一樣，開啟OCSP Stapling后，還需要編輯hosts文件，指定一下ocsp.int-x3.letsencrypt.org服務器IP地址。

ocsp.int-x3.letsencrypt.org服務器IP地址有如下這些：

23.44.51.8 （美國）

23.44.51.27 （美國）

104.109.129.57 （英國）  

104.109.129.11 （英國）

175.45.42.209 （香港）

175.45.42.218 （香港）

223.119.50.201 （香港）

223.119.50.203 （香港）

23.32.3.72 （東京）

編輯hosts文件，Windows中的路徑為：C:\windows\system32\drivers\etc\hosts，Linux中的路徑為：/etc/hosts，添加以下信息：

175.45.42.218 ocsp.int-x3.letsencrypt.org

重啟一下Apache或Nginx即可。

三、驗證OCSP Stapling是否開啟成功

1、在SSH中使用以下命令：

openssl s_client -connect www.你的網址.com:443 -servername www.你的網址.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

若站點返回 OCSP response: no response sent，代表開啟失敗。

若站點已成功啟用 OCSP Stapling，會返回提示中有：successful。

2、打開以下網址，輸入你的網站即可檢測：

https://www.getssl.cn/ocsp

如果你的網站出現(xiàn)第一次打開網站時會顯得很慢，也是https的話不妨看看證書是否有問題

請關注本站，了解更多關于網站打開速度慢的問題

海外穩(wěn)定服務器

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。