如果一个网站试图提高使用 CloudFlare CDN(或任何 CDN)的性能,已经进行 OCSP 装订配置OCSP 装订在他们的例子中Nginx如果 ”完整的 SSL“CloudFlare 上的设置是否使用?
在此设置中,当浏览器从 CloudFlare 保护/缓存的站点请求页面时,它们会使用 TLS 连接到 CloudFlare,然后 CloudFlare 使用 TLS 连接到源 Web 服务器以检索新生成的页面。这意味着要进行两组 SSL 协商,从而增加检索页面所需的时间。另外,HTTP/2 意味着每个网站通常只进行一次连接,无论要下载多少资源。
如果 CloudFlare 检查源 Web 服务器证书的 CRL,我想 OCSP 装订可以减少所需的检查,从而减少 SSL 设置时间。但是我不是这个领域的专家,所以我很感激您对此的想法。
CloudFlare 提供的一些关于它是否有用的信息(这表明它不会提高性能)
感谢您的提问。目前,我们不会对 origin 提供的证书进行撤销检查。不过,我们可能在某个时候会这样做,因此如果使用公开信任的证书,建议绑定 OCSP(这并不困难)。
答案1
重申一下,CloudFlare 的官方回应是
目前,我们不会对 origin 提供的证书进行撤销检查。不过,我们可能在某个时候会这样做,因此如果使用公众信任的证书,建议绑定 OCSP(这并不困难)。
为了验证这一点,我进行了一次测试,测试了装订的开启和关闭情况,结果如下。我的方法是运行五次 Webpagetest.org 测试,测试设置开启和关闭,取中位数,然后取平均值。我在每个位置分别运行了两次测试,测试设置开启和关闭。
结果是装订速度提高了 2.5%,但我怀疑误差幅度意味着没有显著差异。
