在 ios 系统上打开 Let’s Encrypt 证书的域名，首开总是很慢

• 資深大佬 : chihiro2014

  其实我觉得 IOS 不管开啥网页都很慢 emm

• 主 資深大佬 : echooo0

  @chihiro2014 首开很慢，第二次开很快

• 資深大佬 : keyfunc

  错觉吧，chrome 不验证 crl 和 ocsp，所以网页速度和证书基本没任何影响

• 資深大佬 : txx

  放弃吧…我折腾了好几天最后改成阿里云、腾讯云的免费证书证书之后，立刻解决了这个问题。

• 資深大佬 : chihiro2014

  @echooo0 主要是讨厌 safari 开网页的时候，后退总给人卡住的感觉

• 資深大佬 : nigelvon

  这个有结论了，我们之前踩过这个坑，iOS 设备受影响比较多，安卓和 chrome 没事。要么自己配服务器转发 OCSP，要么换证书。

• 主 資深大佬 : echooo0

  @nigelvon 自己配服务器转发 OCSP 是啥意思，是不是就是 ocsp stapling，这个已经做了，但是还是没效果

• 資深大佬 : my2492

  @chihiro2014 换个浏览器就不感觉了，自带浏览器要把一堆垃圾都加载完进度条才结束，国内网站到处插入垃圾加载慢不奇怪，1000M 宽带也一样

• 資深大佬 : cwbsw

  @echooo0
  我自己的墙外 VPS 开了 OCSP Stapling 就解决了，墙内的可能还需要更多处理。
  https://jhuo.ca/post/ocsp-stapling-letsencrypt/
• 資深大佬 : Meano

  @echooo0 用 openssl 命令确认下服务端 ocsp 状态，服务端也是需要去缓存的 ocsp file 的，如果服务端缓存就慢或者失败可能并不返回 ocsp response

• 主 資深大佬 : echooo0

  @Meano

  我用的不是缓存 ocsp file 的方式

  在 nginx 里面是下面这么配置的，查了文档说 ocsp 在服务端缓存时间一般 48 小时，但是实际体验来看好像远低于 48 小时

  ssl_stapling on;
  ssl_stapling_verify on;
  resolver 8.8.8.8 valid=300s;
  resolver_timeout 2s;

• 資深大佬 : GM

  @txx 免费证书没有通配符证书，管理起来太麻烦了。

• 主 資深大佬 : echooo0

  @cwbsw

  OCSP Stapling 我也开了，上我贴了配置，但是感觉好像效果并不好

• 主 資深大佬 : echooo0

  @Meano 用 openssl 命令测试了下，OCSP Stapling 的状态是开启的

  OCSP response:
  OCSP Response Data:
  OCSP Response Status: successful (0x0)
  Response Type: Basic OCSP Response

• 資深大佬 : LnTrx

  @GM Let’s Encrypt 在两年前就支持通配符了，结合 DNS 的自动化方案也很成熟了

• 資深大佬 : Meano

  @echooo0 我的意思就是缓存在内存或者文件中，需要保证服务器的 dns 没有污染，并且服务器访问 ocsp 服务器连接可靠，stapling 才能正常缓存，看你配了 8.8.8.8，大概率连 ocsp 的域名也是污染掉的。

• 主 資深大佬 : echooo0

  @Meano 8.8.8.8 这个之前有测过，没有污染。不过这个 dns 在某些特殊时期会抽风倒是真的

  服务器的 dns 这块，ocsp 的域名已经写到 hosts 文件了。

  至于 stapling 是否正常缓存，我觉得 OCSP Response Status: successful 应该代表已经正常缓存了吧。。。难道还有其他

  状态？

• 資深大佬 : billzhuang

  wireshark 贴一个