如果一个网站试图提高使用CloudFlare CDN(或任何真正的CDN) 已经进行OCSP装订的网站的性能(如果使用CloudFlare上的“ 完全SSL ”设置),则在其Nginx实例上configurationOCSP装订 ?
在此设置中,当浏览器从CloudFlare保护/caching站点请求页面时,他们使用TLS连接到CloudFlare,然后使用TLS连接到源Web服务器以检索新生成的页面。 这意味着两组SSL协商完成,增加了检索页面所需的时间。 另外,HTTP / 2意味着连接通常只在每个网站上完成一次,无论要下载多less资源。
如果CloudFlare检查源Web服务器证书的CRL,我想OCSP装订可以减less所需的检查,从而缩短SSL安装时间。 不过,我不是这方面的专家,所以我会很欣赏这方面的想法。
来自CloudFlare的一些信息是否有帮助(这表明它不会帮助性能)
感谢您的问题。 目前我们不对原产地证书进行吊销检查。 但是,如果使用公开信任的证书(而且没有太大困难),我们可能会在某种程度上build议装订OCSP。
重申一下,CloudFlare的官方回应是
目前我们不对原产地证书进行吊销检查。 但是,如果使用公开信任的证书(而且没有太大困难),我们可能会在某种程度上build议装订OCSP。
为了validation这一点,我做了一个testing运行和装订,结果如下。 我的方法是在打开和closures的情况下运行五个webpagetest.orgtesting,取中间值运行,然后取平均值。 我在每个位置都进行了两次testing,并且都是打开和closures的。
其结果是装订速度提高了2.5%,但是我怀疑错误的幅度意味着没有显着差异。