您可以通过使此证书链尽可能短来优化网站性能,因为验证链中的每个证书都需要额外的时间。额外的证书还意味着在建立安全连接时必须交换更多数据。浏览器甚至可能需要发出额外请求来下载其他直接证书,或检查链中的每个证书是否仍然有效且未被撤销。
购买 TLS 证书时,请询问供应商:
将使用什么证书来签署您的证书,证书链有多长?
他们是否会将他们的中间证 新加坡电报筛选 书与您的证书捆绑在一起,以便浏览器在沿着证书链前进时不必等待下载其他证书?
他们是否支持OCSP 装订,以减少检查撤销证书所需的时间?
我建议从大型知名供应商处购买证书。这些供应商往往提供更好的支持和 OCSP 等功能。他们的根证书也更有可能受到浏览器的信任,因此证书链长度更短。您可以 在此处了解有关如何测试证书链的更多信息。
优化清单
验证所有直接证书是否与您的证书捆绑在一起。
如果可能,获取支持 OCSP 的证书。
避免完整的 TLS 握手
TLS 握手的核心是客户端和服务器相互验证,就一组通用的密码和安全选项达成一致,然后使用这些选项继续对话。最近曾通信过的客户端和服务器需要一遍又一遍地经历整个过程,这似乎很愚蠢。想象一下这样的场景:您正在通过 TLS 访问类似这样的博客。为了下载所有内容,进行了多次 TLS 连接和多次握手。几分钟后,您单击链接阅读此网站上的另一个页面,这导致您的浏览器再次进行多次 TLS 握手。
这就是 TLS 会话恢复的作用所在。基本上,TLS 会话恢复允许客户端说: “嘿,服务器,我们刚才进行了通信,并使用了以下 TLS 选项...可以使用相同的选项重新开始通信吗?” 这对性能来说是一个巨大的改进。完整的 TLS 握手需要 2 次往返才能创建安全连接。TLS 会话恢复允许我们通过 1 次往返完成此操作。