當你打開唯品會的網址時,發現5秒、10秒時,依然還沒加載出來,你還會繼續等嗎?其實,多半人的等待時間是3秒鐘,超過這個時間可能就已經換另一個平臺了。根據調查研究發現,電商網站需在3秒內內容加載完畢,不然大部分人會失去耐心,立即轉向其他網站。
美國一家高檔連鎖百貨店諾德斯特龍(Nordstrom) 表示 ,他們的網站響應時間僅僅延遲了半秒,在線銷售業績就降低了11%。該公司每年總收入約140億美元,而網站響應延遲導致其損失數億美元。
像諾德斯特龍這樣,在意訪問速度的很多,當APP和網站越來越推崇https協議,保證用戶隱私和杜絕流量劫持的時候,也給網站的訪問速度帶來一定的影響,這是很多企業的弊病。
或許是OCSP的問題導致https訪問慢
不得不說,優化https的性能來提升訪問速度是一個系統化且複雜的問題。對於明文傳輸的http企業來說,使用http請求,首次請求時只須和服務端TCP三次握手建立連接,即可開始應用數據傳輸了。不過相較於https,就沒那麼容易。
因為https是使用SSL證書進行加密,所以當用戶訪問https網站時,客戶端會首先通過CA機構的證書吊銷列表(CRL)或者在線證書狀態協議(OCSP),來驗證網站的SSL證書是否有效。
Ocsp的驗證方式對比於CRL,顯得更加高效,不過也有一定的弊端,例如某些客戶端會在SSL/TLS握手期間去實時查詢CA提供的OCSP接口,這個過程會造成額外的開銷和延時,並在獲得驗證結果前阻塞後續流程。
全球多數CA機構的OCSP站點設在國外,因此網絡環境較差、網絡故障、遇到特殊時期網絡封鎖,客戶端無法連接到OCSP站點,或是OCSP站點無法返回證書狀態內容的情況下,便會造成https請求也許還沒到多次握手階段,就先卡在了OCSP環節,進而影響網站的訪問速度,更嚴重的情況下會讓網站癱瘓無法訪問。
由以上可以總結出,造成https網站訪問速度慢原因存在多種因素,當我們做了很多性能優化措施卻看不到效果的時,應該把聚焦點轉移到OCSP的環節是否出了問題。
國內首個OCSP本地化,實現https自動化加速
為了解決OCSP性能問題,業界比較主流的解決辦法是OCSP Stapling,意思是服務器可事先模擬瀏覽器對證書鏈進行驗證,並將帶有CA機構簽名的OCSP響應保存到本地,省去瀏覽器的在線驗證過程。
儘管OCSP Stapling可以最大程度提升OCSP性能,卻並不可以支持所有瀏覽器的容器和環境,並且得企業的運維人員手動配置,進行週期性的操作,這便對企業自身運維提出了極高的要求,但多數企業並不完善這樣的專業能力。
如今,一種全新的解決方案已經誕生。銘普科技的SymantecSSL證書可向中國區用戶提供OCSP本地化服務,由銘普科技簽發的Symantec SSL證書可以幫助國內企業自動化實現https訪問加速,以此滿足並解決企業運維人員手動配置OCSP Stapling。
它的本地化的原理在於,將OCSP過程中訪問境外OCSP服務器,轉變為訪問國內的鏡像服務器,利用國內雲節點提供最大極限的低延遲和高性能,因此幫助國內企業提供高效率的https訪問。
在測試環境中,OCSP本地化的請求返回時間較之以前提升了3-4倍。對於金融、電商、互聯網等行業而言,OCSP本地化就像是https網站的“速效救心丸”,無論是節假日、雙11等流量高峰時期,還是企業網絡區域節點受限、特殊時期網絡封鎖等場景,都能夠保障網站/APP在線訪問的穩定性、持續性和高性能,有效提升https網站的訪問速度,解決網絡擁堵的問題。
需要聲明的是,目前OCSP本地化服務僅限於我們中國區,由銘普科技簽發的Symantec SSL證書可直接使用該功能,從國外其它渠道獲取到的證書並沒有這項服務。企業在購買SSL證書時應注意到這一細節,續簽證書的企業也可以諮詢銘普科技是否獲得該項升級服務。
互聯網+的時代,全網採用https加密已成不可逆的趨勢,企業若想提升https訪問速度,從OCSP本地化開始是一個很不錯的選擇。
閱讀更多 銘普科技 的文章
