使用 Let’s Encrypt 证书 导致苹果手机 和 OSX Safari下 HTTPS握手时间变长

    技术教程 vpnxxw 来源:p2hp 61次浏览 0个评论 扫描二维码

    环境:

    centos 7.6

    tengine 2.3.0

    openssl 1.0.2k

     

    近日 业务部门反映说苹果手机打开相关站点时间过长 安卓手机没问题

    遂开始排查

    发现 在苹果手机 IOS 13.4以下的系统中

    不管是在微信还是用safari打开网页 时间都会明显长于安卓 IOS 升级到13.4.1后问题消失

    使用mac 调试显示 TCP SSL 相关时间在3s+

    目前使用的是 Let’s Encrypt 的证书

    更换HTTPS证书后问题消失

    现象如下图

    使用 Let's Encrypt 证书 导致苹果手机 和 OSX Safari下 HTTPS握手时间变长

    下图是更换证书后的情况

    使用 Let's Encrypt 证书 导致苹果手机 和 OSX Safari下 HTTPS握手时间变长

     

    请问各位谁知道这是什么原因 怎样解决?

    如果有什么需要补充的 请留言 我尽快补充!

    感谢各位

     

    —————————————————————————————-

    更新一下

    这个已经知道原因了,Let’s Encrypt 证书的OCSP地址 ocsp.int-x3.letsencrypt.org 被某种神秘力量所影响

    没法正确解析dns了,chrome里好像 默认不在客户端检测ocsp,safari和ios就不行。
    有两种解决办法:

    1.更换证书,这个没啥说的

    2.让客户端可以正常访问ocsp,这里分两种情况:

     

    1.客户端翻墙

    2.服务器做ocsp stapling,让ocsp请求通过自己的服务器来做,解决这个问题

    因为这次神秘力量比较奇怪,只影响DNS解析,没有影响TCP连接,所以可以在服务器做DNS解析

    ocsp.int-x3.letsencrypt.org => 23.1.236.25 (这里我是用国外服务器ping了一下拿的这个地址,大家随意)

     

    最后在说一句话,GFW牛逼= =

    anyShare分享到:

    VPN信息网 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明-VPN信息网-使用 Let’s Encrypt 证书 导致苹果手机 和 OSX Safari下 HTTPS握手时间变长
    喜欢 (0)
    发表我的评论
    取消评论

    表情 贴图 加粗 删除线 居中 斜体 签到

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址