本文档介绍火山引擎内容分发网络(CDN)提供的 OCSP 装订的功能。
OCSP 是在线证书状态协议,英文全称是 Online Certificate Status Protocol。在 TLS 握手阶段,客户端获取证书后会向该证书的 CA 机构查询该证书的状态。CA 机构会向客户端发送 OCSP 响应。
由于客户端在获得证书时就会向 CA 机构查询证书的状态,容易造成 CA 机构收到大量的查询请求。如果 CA 机构响应慢,会增加 TLS 握手的时间。为了避免这个问题,OCSP 装订就产生了。OCSP 装订允许服务器定期向 CA 机构查询证书状态并在服务器缓存该状态。当服务器向客户端发送证书时,会一起发送该证书的 OCSP 响应。OCSP 响应是经过 CA 机构签名的,不易被伪造。
OCSP 装订极大降低了客户端向 CA 机构发送的查询请求,也降低了 TLS 的握手时间。缺点就是客户端获取到的证书状态不一定是最新的。但是可以通过配置服务器向 CA 机构查询证书的时间间隔来降低该缺点带来的影响。
CDN 提供 OCSP 装订的功能,可以提高 TLS 握手效率,提升用户体验。
要启用 OCSP 装订,您必须已对加速域名已 配置了证书。