在浏览器查询当前 SSL 证书的OCSP服务网址,Ping 得 ip 地址后检测其连接状态,如若 OCSP 校验服务器的延迟较高或被阻断,则可通过配置 OCSP Stapling 或更换其它证书的方式优化加速。
当前只有iOS系统下的Safari 浏览器和微信小程序,会要求在线校验证书的有效性,而较新的 Chromium 内核和 Firefox 内核则不会强制在线校验。
1. 如何获取 SSL 证书的 OCSP 服务网址
以 Chrome 浏览器为例:点击小锁➡️连接是安全的➡️证书有效
详细信息➡️你的域名➡️授权中心信息访问权限➡️OCSP 响应程序
2. 常见免费 SSL 证书的 OCSP 服务网址
阿里云/腾讯云和Let's Encrypt是比较常见的免费 SSL 证书来源,经过虫子菌实测,截至 2022 年 10 月,其 OCSP 服务器详情如下:
2.1 阿里云免费 SSL 证书
- ⭕证书品牌:Encryption Everywhere DV TLS CA - G1
- ⭕OCSP 服务:http://ocsp.digicert.com
- ⭕OCSP 延迟:国内没 OCSP 服务器,延迟较高
2.2 腾讯云免费 SSL 证书
- ⭕证书品牌:TrustAsia RSA DV TLS CA G2
- ⭕OCSP 服务:http://ocsp.trust-provider.cn
- ⭕OCSP 延迟:国内有 OCSP 服务器,延迟还行
2.3 Let's Encrypt 免费 SSL 证书
- ⭕证书品牌:R3
- ⭕OCSP 服务:http://r3.o.lencr.org
- ⭕OCSP 延迟:国内有 OCSP 服务器,延迟还行
3. 如何检测 OCSP 服务国内的连接状态
打开 https://www.itdog.cn/ping/ 测试所获取的 OCSP 服务网址,就能看到延迟详情了。
此外,还可以看到 OCSP 服务器所在的具体地区。
为什么https://bbs.acgrip.com/这个网站SSL只有38ms
https://www.544445.xyz/images/2022/10/22/ssl.png
他用的是阿里云免费的证书,OCSP也没有开启,我是联通网,我尝试tcping阿里云免费证书的那个OCSP,延迟大概有80-160ms
@0337-22102210 你图例所示 SSL 时间,不是验证 OCSP 服务器所用的时间。一般只有 iOS 的系统自带浏览器,会在初次访问时才验证(然后缓存一些时间),其它浏览器一般是不验证的。