北美時(shí)裝零售商N(yùn)ordstrom表示,網(wǎng)站響應(yīng)時(shí)間延遲僅半秒,它的在線銷(xiāo)售就下降了11%。該公司每年總收入達(dá)到140億美元,網(wǎng)站響應(yīng)延遲導(dǎo)致其損失數(shù)億美元。
像Nordstrom這樣在意網(wǎng)站訪問(wèn)速度的企業(yè)數(shù)不勝數(shù),當(dāng)全球越來(lái)越多的網(wǎng)站/APP開(kāi)始采用HTTPS協(xié)議,以保護(hù)用戶隱私,防止網(wǎng)站流量劫持,但同時(shí)帶來(lái)的網(wǎng)站訪問(wèn)速度下降問(wèn)題,也讓企業(yè)非常頭疼。
HTTPS網(wǎng)站訪問(wèn)慢,可能是OCSP性能不夠好
不得不說(shuō),如何優(yōu)化HTTPS性能,提升HTTPS訪問(wèn)速度,是一個(gè)非常系統(tǒng)和復(fù)雜的話題。對(duì)于用戶來(lái)說(shuō),使用HTTP請(qǐng)求,首次請(qǐng)求時(shí)只要和服務(wù)端TCP三次握手建立連接,便可以開(kāi)始應(yīng)用數(shù)據(jù)傳輸了。但對(duì)于HTTPS而言,事情就不那么簡(jiǎn)單。
不僅如此,由于HTTPS使用SSL證書(shū)進(jìn)行加密,當(dāng)用戶訪問(wèn)HTTPS網(wǎng)站時(shí),客戶端(瀏覽器或其他設(shè)備)會(huì)首先通過(guò)CA(證書(shū)頒發(fā)機(jī)構(gòu))的證書(shū)吊銷(xiāo)列表(CRL)或者在線證書(shū)狀態(tài)協(xié)議(OCSP),來(lái)驗(yàn)證網(wǎng)站的SSL證書(shū)是否有效。
相比CRL驗(yàn)證方式,OCSP的方式更加高效,但同時(shí)也存在副作用,即某些客戶端會(huì)在SSL/TLS握手期間去實(shí)時(shí)查詢CA提供的OCSP接口,這個(gè)過(guò)程會(huì)產(chǎn)生額外的開(kāi)銷(xiāo)和延時(shí),并在得到驗(yàn)證結(jié)果前阻塞后續(xù)流程。
由于大多數(shù)全球權(quán)威CA的OCSP站點(diǎn)都設(shè)在國(guó)外,當(dāng)網(wǎng)絡(luò)環(huán)境較差、出現(xiàn)網(wǎng)絡(luò)故障以及遇到特殊時(shí)期網(wǎng)絡(luò)封鎖,客戶端無(wú)法連接到OCSP站點(diǎn),或者OCSP站點(diǎn)無(wú)法返回證書(shū)狀態(tài)內(nèi)容,導(dǎo)致HTTPS請(qǐng)求可能還沒(méi)到多次握手階段,就先卡在了OCSP環(huán)節(jié),直接影響網(wǎng)站的訪問(wèn)速度,嚴(yán)重時(shí)造成網(wǎng)站癱瘓無(wú)法訪問(wèn)。
由此看來(lái),造成HTTPS網(wǎng)站訪問(wèn)速度慢,可能有多種原因,但是當(dāng)我們做了很多性能優(yōu)化的措施卻不見(jiàn)效時(shí),就該想想是否在OCSP環(huán)節(jié)出了問(wèn)題。
國(guó)內(nèi)首個(gè)OCSP本地化,實(shí)現(xiàn)HTTPS自動(dòng)化加速
事實(shí)上,為了解決OCSP性能問(wèn)題,業(yè)界比較主流的解決辦法是OCSP Stapling,即服務(wù)器可事先模擬瀏覽器對(duì)證書(shū)鏈進(jìn)行驗(yàn)證,并將帶有CA機(jī)構(gòu)簽名的OCSP響應(yīng)保存到本地,省去瀏覽器的在線驗(yàn)證過(guò)程。
雖然OCSP Stapling能夠極大提高OCSP性能,但并不是所有的瀏覽器和容器環(huán)境都支持,而且需要企業(yè)運(yùn)維人員手動(dòng)配置,進(jìn)行周期性的操作,這就對(duì)企業(yè)自身運(yùn)維提出了極高的要求,然而大多數(shù)企業(yè)并不具備這樣的專(zhuān)業(yè)能力。
值得慶幸的是,一種全新的解決方案已經(jīng)誕生。目前,國(guó)內(nèi)權(quán)威CA機(jī)構(gòu)天威誠(chéng)信聯(lián)合DigiCert & Symantec首次面向中國(guó)用戶推出了OCSP本地化服務(wù),由天威誠(chéng)信簽發(fā)的DigiCert & Symantec SSL證書(shū)可以助力國(guó)內(nèi)企業(yè)自動(dòng)化實(shí)現(xiàn)HTTPS訪問(wèn)加速,不再需要專(zhuān)業(yè)運(yùn)維人員手動(dòng)配置OCSP Stapling。
OCSP本地化的原理在于,將OCSP過(guò)程中訪問(wèn)境外OCSP服務(wù)器,轉(zhuǎn)變?yōu)樵L問(wèn)國(guó)內(nèi)阿里云鏡像服務(wù)器,通過(guò)國(guó)內(nèi)云節(jié)點(diǎn)提供最大程度的低延遲和高性能,從而為國(guó)內(nèi)企業(yè)提供高效的HTTPS訪問(wèn)效率。
在測(cè)試環(huán)境中,OCSP本地化的請(qǐng)求返回時(shí)間較之以前提升了3-4倍。對(duì)于金融、電商、互聯(lián)網(wǎng)等行業(yè)而言,OCSP本地化就像是HTTPS網(wǎng)站的“速效救心丸”,無(wú)論是節(jié)假日、雙11等流量高峰時(shí)期,還是企業(yè)網(wǎng)絡(luò)區(qū)域節(jié)點(diǎn)受限、特殊時(shí)期網(wǎng)絡(luò)封鎖等場(chǎng)景,都能夠保障網(wǎng)站/APP在線訪問(wèn)的穩(wěn)定性、持續(xù)性和高性能,有效提升HTTPS網(wǎng)站的訪問(wèn)速度,解決網(wǎng)絡(luò)擁堵的瓶頸。
需要注意的是,目前OCSP本地化服務(wù)僅限中國(guó)區(qū),由天威誠(chéng)信簽發(fā)的DigiCert & Symantec SSL證書(shū)可以直接使用此功能,而從國(guó)外渠道供應(yīng)商獲取到的證書(shū)并沒(méi)有這項(xiàng)服務(wù)。企業(yè)在購(gòu)買(mǎi)SSL證書(shū)時(shí)需留心這一細(xì)節(jié),續(xù)簽證書(shū)的企業(yè)也可以咨詢天威誠(chéng)信能否獲得該項(xiàng)升級(jí)服務(wù)。
如今,全網(wǎng)采用HTTPS加密已成不可逆的趨勢(shì),企業(yè)若要提升HTTPS訪問(wèn)速度,不如先從OCSP本地化開(kāi)始。