如果使用 CloudFlare 上的“ Full SSL ”设置,尝试提高使用 CloudFlare CDN(或任何 CDN)的网站是否应该在他们的Nginx实例上配置OCSP 装订?
在此设置中,当浏览器从受 CloudFlare 保护/缓存的站点请求页面时,它们使用 TLS 连接到 CloudFlare,然后使用 TLS 连接到源 Web 服务器以检索新生成的页面。这意味着完成了两组 SSL 协商,增加了检索页面所需的时间。顺便说一句,HTTP/2 意味着每个网站通常只进行一次连接,而不管要下载的资源数量如何。
如果 CloudFlare 检查源 Web 服务器证书的 CRL,我想 OCSP 装订可以减少所需的检查,从而减少 SSL 设置时间。但是,我不是这方面的专家,所以我很感激对此的想法。
CloudFlare 提供的一些关于它是否有用的信息(这表明它对性能没有帮助)
谢谢你的问题。目前,我们不对 origin 提供的证书进行吊销检查。但是,我们可能会在某个时候建议装订 OCSP,如果使用的是公开信任的证书(并且难度不大)。
重申一下,CloudFlare 的官方回应是
目前,我们不对 origin 提供的证书进行吊销检查。但是,我们可能会在某个时候建议装订 OCSP,如果使用的是公开信任的证书(并且难度不大)。
为了验证这一点,我做了一个关闭和打开装订的测试运行,结果如下。我的方法是在设置打开和关闭的情况下运行五个webpagetest.org 测试,取中间值,然后取平均值。我从每个位置运行了两次测试,设置都打开和关闭。
结果是装订速度提高了 2.5%,但我怀疑误差幅度意味着没有显着差异。