ios 访问 Let‘s encrypt 免费证书的 https 很慢

最新推荐文章于 2023-11-09 13:56:03 发布
最新推荐文章于 2023-11-09 13:56:03 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: 其它
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovelyelfpop/article/details/107851489
版权

最近在自己测试自己部署的 https(Let’s encrypt 免费证书),发现请求很慢,有10多秒甚至20秒的延迟。
而请求 http 很快,改 ios 的 DNS 也没用。Android 和 Windows 上都没有这个现象。

原因

因为LE证书的吊销状态检查域名(ocsp.int-x3.letsencrypt.org 以及相关CName或Alias)在大陆受到劫持引起。苹果系统的浏览器打开SSL网站时将对证书的状态进行验证,当在验证证书状态时,请求了被劫持的Let’s Encrypt证书状态检查(OCSP)的服务器,而该服务器为不可使用状态或有很长延时,从而导致打开网站延时。

由于证书状态检查由苹果的浏览器(UIWebView, WKWebView、Safari)发起,而Chrome在访问SSL网站时并不进行这一项检查,所以大部分用户在Chrome中访问正常,只有在苹果系统中访问出现延时。

解决办法1

换证书

解决办法2

在服务器上配置OCSP(SSL Stapling)功能(OCSP是用于在线查询证书吊销情况的服务),然后强制让浏览器使用服务器提供的OCSP状态,而不是由浏览器去检查。目前Apache2.4和Nginx1.6以上的系统均支持该项配置。

第一步:修改服务器的hosts文件,解析正确的 ocsp.int-x3.letsencrypt.org 域名IP

修改服务器的hosts文件,把 Let’s Encrypt 的OCSP服务器进行正确的解析。目前 ocsp.int-x3.letsencrypt.org 正常的服务器IP有:

23.44.51.8 (美国)
23.44.51.27 (美国)
104.109.129.57 (英国)  
104.109.129.11 (英国)
175.45.42.209 (香港)
175.45.42.218 (香港)
223.119.50.201(香港)
223.119.50.203(香港)
23.32.3.72(东京)

我试了下,175.45.42.21 最快,也没有丢包。

可以在hosts文件中加入:

175.45.42.218   ocsp.int-x3.letsencrypt.org

保存即可!

附:hosts文件路径:

  • Windows(以管理员身份运行记事本,然后打开): C:\windows\system32\drivers\etc\hosts
  • Linux/Unix/Mac Server(必须先切换到超管): /etc/hosts
  • 华硕梅林固件修改 host 的方法:

在 /jffs/ 目录下创建一个名为 dnsmasq.conf.add 的文件

vi /jffs/dnsmasq.conf.add\

加入内容 addn-hosts=/jffs/configs/hosts 并且保存

进入 /jffs/configs,创建一个名为 hosts 的文件

vi /jffs/configs/hosts

在该文件中加入自定义域名解析,比如 175.45.42.218 ocsp.int-x3.letsencrypt.org,并且保存

第二步:在Apache和Nginx中启用 OCSP 功能

apache
修改全局SSL配置(注意部分服务器要求这两项配置的路径在同一目录):

SSLSessionCache        "shmcb:conf/ssl_scache(512000)"
SSLStaplingCache "shmcb:conf/ssl_stapling(512000)"
SSLUseStapling On

nginx

修改SSL配置:

ssl_stapling on;
ssl_stapling_verify on;

第三步:重启 apache 或 nginx 即可!

最后可以用 https://www.getssl.cn/ocsp 来检测是否生效,如下图
在这里插入图片描述

参考
https://easy.zhetao.com/easy-https-lets-encrypt-content-233?_verip_csrf_token_name=null

神秘_博士
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
信息安全领域的个人防护指南——密码管理、网络攻防、操作系统、反病毒软件等
程序员光剑
08-06 1719
2020年是信息安全行业的元年,数字化进程不断推进,各种攻击手段层出不穷,相关部门对个人信息安全保障的高度重视也正在得到提升。越来越多的人把注意力从传统安全保障转移到新的网络安全防护上来。本文将从个人防护角度,分享一些对个人信息安全进行全方位防护的知识和技巧。密码管理(Password Management)是指保管、管理、使用、共享用户账号和密码,确保用户信息安全的一项重要环节。可以帮助保护个人信息免受各种恶意攻击,促进网络安全运营,提高信息安全水平。
我遇到的问题 ios https请求数据响应的问题
weixin_42942604的博客
09-04 1695
我遇到的问题 ios https请求数据响应的问题 session.securityPolicy.validatesDomainName = NO;
Let's Encrypt
Ryan Z 的技术日志
08-25 748
Let's Encrypt 2017年04月29日 趁今天放假给博客换上了 httpsHTTPS 免费证书我选择了 Let's Encrypt ,不但免费,还靠谱、方便部署。 Let's Encrypt 推荐使用 Certbot 进行部署: 安装 certbot $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-
ios 访问 Let‘s encrypt 免费证书https 很慢是什么原因?
最新发布
qq_31930427的博客
11-09 236
网站第一次在IOS上加载速度的原因,是因为Let‘s encrypt 免费证书导致的
网站开启https很慢_安装SSL证书会导致网站访问速度变?
weixin_27051161的博客
12-31 2978
前不久,在网上看到一些这样的信息,是说在网站使用过SSL证书后,会导致网站打开速度变?还有这样一个问题,是说SSL证书会导致网上速度变,那么使用CND加速,就可以拟补这个访问速度。真的是这样吗?小编为你解答!首先我们先来回答第一个问题:“网站使用过SSL证书后,会导致网站打开速度变?”使用SSL证书理论上进行了一次加密,会影响访问速度。但经过实际测试,其影响基本可以忽略。也就是,用不用SSL...
记录一个IOS访问HTTPS协议TCP握手的问题
qq_41101646的博客
09-21 1466
首先说下情况,公司项目APP嵌入WEB,WEB端使用前后分离,本项目我负责后端开发,采用PHP开发,接口部分使用文件缓存 在Andriod下测试接口响应速度都在300ms以内,IOS上出现问题,前端找我反馈,由于前后端使用了不同的域名和服务器部署,前端使用Vueaxios和JqueryAjax测试均发现请求缓,大概在6秒左右 我这边初步怀疑是链路问题,测试人员切换了4G和WiFi,结果一样 然后他们使用香港代理服务器访问,结果OK 我这边初步怀疑是SSL证书的问题(结果确实是,哈哈๑乛◡乛๑)..
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢。OCSP域名无法访问的问题
seowen的开发 小本子
06-16 3632
事件由来 如果最近发现iOS APP打开h5非常,达到5秒以上,而安卓又正常,如果刚好你又是使用了Let's Encrypt免费SSL服务,恭喜你,你可能是一位运营商干扰的受害者。 原因: 近期由于众所周知的原因,国内无法直接访问 Let's Encrypt 的 OSCP 域名,导致出现了不能签发证书、OCSP Stapling 失败、网页打开等问题。 经检查目前是 ocsp.int-x3.letsencrypt.org 的 cname 域名 a771.dscq.akamai.net 受到了干
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢
seowen的开发 小本子
06-15 3519
问题: 后端Linux服务,使用Let’s EncryptHTTPS 证书App端,分为Android 和 IOSIOS系统通过H5访问后端接口, 速度非常不稳定,点击请求按钮后,5-10秒钟,nginx才看到请求日志。 而Android 没有这个问题。 这个问题,很头疼,怀疑是前端 IOS编译器打包的问题, 但却无从解决。 怀疑是网络带宽问题,但是查看发现,带宽剩余很充足。 后来,在一头雾水的情况下, 尝试直接 http访问,而不用 https。 发现速度一下子变正常了,也很...
苹果ATS和微信小程序搭建 Nginx + HTTPS 服务
蜗牛的专栏
01-22 1万+
昨天测试开发微信小程序,才发现微信也要求用HTTPS加密数据,想来是由于之前苹果的ATS审核政策的缘故吧,微信想在苹果上开放小程序必然也只能要求开发者必须使用HTTPS了,于是在服务器上测试安装Nginx+HTTPS服务。安装 HTTPS 最麻烦的问题应该就是获取证书了,证书感觉种类也挺复杂的,有好几种,单域、泛域、多域。。。还有个种标准乱七八糟的感觉,而且收费很高,还是每年买的。现在各个云服务商也
高性能优化神器 Nginx HTTPS 延迟让Nginx提速 30%
uuqaz的博客
05-08 1670
导言 Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服务器单机应该可以期望承受住 50K 到 80K 左右[1]每秒的请求,同时将 CPU 负载在可控范围内。 但在很多时候,负载并不是需要首要优化的重点。比如对于卡拉搜索来说,我们希望用户在每次击键的时候,可以体验即时搜索的感觉,也就是说,每个搜索请求必须在 100ms -200ms 的时间内端对端地返回给用户
小程序要求的 TLS 版本必须大于等于 1.2
02-05 7206
微信小程序发现wx.request调试报错: 小程序要求的 TLS 版本必须大于等于 1.2 解决方法 执行powershell脚本 Powershell拥有自己的脚本,扩展名为“.ps1”.把下列内容复制保存成.ps1的后缀名,然后执行。 执行:开始->运行->cmd,在命令行下输入 PowerShell 进入 windows PowerShell
你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!
涛哥聊Python
02-01 2088
鼠年大吉HAPPY 2020'S NEW YEAR来源:安全客地址:https://url.cn/5WvQjVs本文仅作学术分享,若侵权,请联系后台删文处理缘起偶刷《长安十二时辰...
iOS APP出现HTTPS证书过期无法访问问题
高级软件开发工程师--周玉的博客
12-27 1万+
APP突然出现了无法访问的情况,同事反应安卓访问没问题,iOS访问不了,后台的同事也查看了服务器正常没有挂, iOS设备上无法正常访问,于是就用charles抓包查看情况, 不出意外,仍是以往的证书过期问题 HTTPS证书过期,抓包情况 将过期的域名输入到safari浏览器 点击显示详细信息 查看证书 点击细节,往下查看证书有效期 在手机浏览器里打开查看 处理方法 让运维更新证书即可正常...
ios文件连接服务器未能完成,iOS Socket-IO https 不能连接 connect error
weixin_39802969的博客
08-13 2865
LOG SocketManager: Tried connecting socket when engine isn't open. ConnectingLOG SocketManager: Adding engineLOG SocketIOClient{/}: Handling event: statusChange with data: [connecting, 2]LOG SocketMan...
iOS小技能: HTTPS问题分析汇总:1、NSURLSessionTask finished with error - code: -1005(请求超时)2、Error Code=-999
热门推荐
iOS逆向与安全
10-15 1万+
- request.timeoutInterval = 5.0; + request.timeoutInterval = 30.0;
iOS APP出现HTTPS证书过期无法访问问题的排查
qq_34823218的博客
11-18 2062
APP突然出现了无法访问的情况,同事反应安卓访问没问题,iOS访问不了,后台的同事也查看了服务器正常没有挂, iOS设备上无法正常访问,于是就用charles抓包查看情况, 不出意外,仍是以往的证书过期问题 HTTPS证书过期,抓包情况 将过期的域名输入到safari浏览器 点击显示详细信息 查看证书 点击细节,往下查看证书有效期 在手机浏览器里打开查看 处理方法 让运维更新证书即可正常访问,iOS客户端就能正常展示了 ...
开启OCSP提升HTTPS速度
CUG_ZG的专栏
04-14 1305
背景:根据客服对用户信息的反馈,部分IOS启动app很慢甚至超时,而安卓并无异常。 排查步骤 1.查看nginx的错误日志和服务端的处理日志,并没有发现异常超时的记录; 2.通过还原用户使用场景,用户发送请求到服务器接收到请求,产生了6-10s的延迟,这个直接导致ios 触发原定的3s超时; 3.了解到用户并非出于网络较差环境,或者使用科学上网,于是将问题定位到https验证; 4.因为io...
使用 OCSP协议 发送请求验证证书状态,OCSP验证苹果P12证书状态(有效 | 撤销)
weixin_38297853的博客
01-18 4732
鉴于公司有需求 需要Java服务端进行证书的校验,怎奈java实现的案列太少,苦苦搜寻2天,百度、谷歌、OCSP协议文档 、最后终于实现了,可以利用该 Demo 进行任何 OCSP协议的证书校验!!! 找了好多,最后使用bouncycastle 完成了OCSP校验 Maven 需要引入的包: <dependencies> <dependency&...
Let's Encrypt通配符证书申请与运维解析
Let’s Encrypt是一个免费且自动化的证书颁发机构(CAA),由互联网安全研究集团(ISRG)创立,旨在促进网络上的安全通信,特别是推动从不安全的HTTP向更安全的HTTPS的转变。该机构提供的SSL/TLS证书完全免费,适用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

神秘_博士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值