CC BY-SA 3.0 image BY Yathin sk本周CloudFlare将宣布我们正在做的几件事，以显著提高SSL的性能。用SSL保护的站点太少了。站点不实现SSL的原因之一是它会降低web性能。OCSP/CRL检查是对SSL性能影响最小但最显著的问题之一。这些检查占HTTPS开销的30%或更多。那很痛苦。提高OCSP/CRL性能的最佳解决方案是OCSP装订。CloudFlare致力于使互联网更快、更安全，因此我们在整个网络范围内启用了OCSP装订，以加快所有HTTPS连接的速度并使使用SSL保护站点的决定变得轻而易举。那么什么是OCSP/CRL检查？为什么它会显著降低页面加载速度？我们如何通过OCSP装订消除HTTP连接的性能税？继续读下去看看。吊销开销要支持HTTPS上的安全web连接，网站必须具有SSL证书。SSL证书是由证书颁发机构（CA）颁发的。SSL证书是在浏览器信任的一段时间内颁发的。但是，如果一个SSL证书在过期之前被窃取或以某种方式被破坏，那么站点需要一种方法来撤销该证书，这样它就不再被信任了。OCSP和CRL是用于吊销证书的两个协议。CRL代表证书撤销列表，是这两种协议中比较古老和粗糙的一种。当CA从浏览器接收到CRL请求时，它将返回CA管理的所有已吊销证书的完整列表。然后，浏览器需要解析列表并确定所访问站点的证书是否已被吊销。使用OCSP，浏览器将有问题的站点的证书发送给CA。然后CA返回特定证书的good、REVOCTED或unknown。OCSP通常更可取，因为需要发送的数据更少，而且浏览器解析CRL响应的开销也更少。虽然每个浏览器处理撤销检查过程的方式不同，但通常现代浏览器更喜欢OCSP而不是CRL检查。

吊销检查：30%以上的SSL慢度不管浏览器执行的是OCSP还是CRL检查，检查都会增加大量开销。为了让您有所了解，以下连接流摘自本文关于移动设备上的SSL开销的文章：DNS（1334ms）TCP握手（240毫秒）SSL握手（376ms）遵循证书链（1011ms）DNS到CA（300ms）TCP到CA（407ms）OCSP至CA#1（598ms）TCP到CA#2（317ms）OCSP至CA#2（444ms）完成SSL握手（1270ms）上面列表中的红色部分（步骤5-9）表示吊销检查请求所需的开销。将每个步骤的时间加起来，您将看到超过30%的SSL开销来自于检查证书是否已被吊销。不幸的是，这个检查不是并行进行的。在大多数浏览器中，在撤销检查完成之前，浏览器不会开始下载任何其他内容。换言之，OCSP检查阻塞了内容传递，并且固有地增加了请求的大量时间。很痛苦。为胜利而努力加速OCSP的关键是摆脱返回到CA的请求。OCSP响应不需要直接从CA请求OCSP响应，而是可以包含在初始SSL握手中（上面示例中的步骤3）。从这个意义上说，OCSP响应被"装订"到初始SSL握手。虽然这种方法看起来不太安全，但是响应是由CA的根证书签名的，因此浏览器可以验证其真实性，即使它不是直接从CA的OCSP服务器传递的。

虽然OCSP装订非常有意义，但不幸的是，它以前并没有得到web服务器的广泛支持。问题的一部分是，它通常需要web管理员进行大量的技术投资。虽然这项投资对许多单独的站点来说可能没有意义，但CloudFlare处于一个独特的位置，能够让OCSP一下子为大量站点绑定。所以我们刚才就是这么做的。在CloudFlare，我们的任务是使web更快、更安全。这个任务固有的特点是消除SSL连接的性能损失，以便尽可能多的站点支持安全的HTTPS连接。我们的SSL性能已经是同类产品中最好的，现在它更快了。如果您已经是启用了SSL的CloudFlare客户，那么您的HTTPS性能现在比上周快了30%。如果您还不是CloudFlare客户，但您希望尽快确保SSL性能，则只需5分钟即可注册。本周请继续关注我们如何帮助提高整个web的SSL性能。