使用证书对站点进行 https改造的后,当客户端对web服务器发起请求时,第一步就是进行tls 握手。当客户端拿到证书时要对证书的有效性进行校验。以防止证书被吊销,当时频繁的去请求证书服务器的CRL 证书吊销表格时,会给证书站点造成压力,影响证书校验性能。
随着 OCSP 协议出现,减轻了证书站点的部分压力。但lient 端承载着证书校验由于网络等因素制约,证书校验时间并没有显著的提高。
nginx 等 web服务器 支持 ssl stapling ,即证书校验由nginx服务发起,当客户端请求时nginx 在返回的证书头部装饰好ssl 描述,大大减轻client 负担。
具体配置如下: