You need to enable JavaScript to run this app.
导航

启用 OCSP 装订

最近更新时间2022.12.15 16:45:48

首次发布时间2022.08.01 21:44:04

本文档介绍火山引擎内容分发网络提供的 OCSP 装订的功能。

什么是 OCSP 装订

OCSP 是在线证书状态协议,英文全称是 Online Certificate Status Protocol。在 TLS 握手阶段,客户端获取证书后会向该证书的 CA 机构查询该证书的状态。CA 机构会向客户端发送 OCSP 响应。

由于客户端在获得证书时就会向 CA 机构查询证书的状态,容易造成 CA 机构收到大量的查询请求。如果 CA 机构响应慢,会增加 TLS 握手的时间。为了避免这个问题,OCSP 装订就产生了。OCSP 装订允许服务器定期向 CA 机构查询证书状态并在服务器缓存该状态。当服务器向客户端发送证书时,会一起发送该证书的 OCSP 响应。OCSP 响应是经过 CA 机构签名的,不会被伪造。

OCSP 装订的优缺点

OCSP 装订极大降低了客户端向 CA 机构发送的查询请求,也降低了 TLS 的握手时间。缺点就是客户端获取到的证书状态不一定是最新的。但是可以通过配置服务器对证书查询的时间间隔来降低该缺点带来的影响。

启用 OCSP 装订

火山引擎内容分发网络提供 OCSP 装订的功能,可以提高 TLS 握手效率,提升用户体验。

前提条件

要启用 OCSP 装订,加速域名必须已经启用了 HTTPS

操作步骤

  1. 登录 火山引擎内容分发网络控制台
  2. 在左侧导航栏,点击 域名管理
  3. 域名管理 页面,找到需要配置的域名,点击 管理
    页面上方的筛选条件和搜索框可以帮助您快速找到要配置的域名。
  4. 在域名页面上,点击 HTTPS 配置 页签。
  5. 在页面右上方,点击 编辑配置
  6. OCSP 装订 下方,设置 状态开启
  7. 设置完成后, 在页面右上角点击 提交编辑

alt