OCSP

• 在线证书状态协议（Online Certificate Status Protocol, OCSP）是一种用于实时检查数字证书合法性的网络协议。OCSP 用来验证证书是否已被吊销、过期或仍然有效。
• 当客户端使用 HTTPS 协议访问一个网站时，为确保安全，客户端需要验证该网站服务器提供的数字证书的有效性。客户端的每次请求都会向 CA 进行 OCSP 查询，以确认证书未被吊销。只有 CA 确认证书合法有效后，客户端才会继续加载来自该网站服务器的内容。
• OCSP 提供了一种实时检查证书状态的方法，在 HTTPS 通信过程中起着重要的作用，有效防范了因证书问题而引发的安全风险，提升了客户端访问网站的安全性。但是频繁的 OCSP 查询请求导致 TLS 握手效率较低，将影响客户端访问网站的速度。

OCSP Stapling

• OCSP装订（OCSP Stapling）是对在线证书状态协议（OCSP）的一种改进，旨在解决 OCSP 查询可能增加 TLS 握手延迟的问题。通过 OCSP 装订功能，服务器可以预先模拟客户端对证书链的验证过程，获取由 CA 返回的 OCSP 验证结果，并将结果缓存在本地，最长可缓存7天。在 TLS 握手阶段，服务器将预先获取并缓存的 OCSP 响应与证书链一起发送给客户端，从而避免客户端直接向 CA 查询证书状态所带来的额外时间开销。这提高了访问速度，因为客户端无需再向 CA 发起证书状态查询请求。
• 在全站加速中，当您启用了 OCSP 装订功能后，全站加速将替代客户端进行 OCSP 信息查询。全站加速以较低频率进行 OCSP 信息查询，并将查询结果缓存在边缘节点上，默认缓存时间为60分钟。当客户端向全站加速发起 TLS 握手请求时，全站加速会将证书的 OCSP 信息与证书一起发送给客户端，客户端无需再向 CA 发送查询请求。
• 通过 OCSP 装订能力，TLS 握手的效率得到提升，这缩短了证书验证的时间，同时也减轻了 CA 处理查询请求压力。全站加速提供 OCSP 装订功能，为您提供更快、更可靠的 HTTPS 访问体验。