使用 OpenSSL 测速证书 OCSP 服务器
大部分 web server 与 CDN 都已经支持 OCSP Stapling,但启用 OCSP Stapling 后加速了多少?本文将以 Debian / Ubuntu 系统为例,指导如何使用 OpenSSL 测速证书 OCSP 服务器,并简单对比几个常用证书品牌的延迟。
准备工作
- 安装 OpenSSL
确保 OpenSSL 与 time 存在,一般系统已经预装,如果不存在需要安装一下。
apt update
apt install time openssl -y- 获取证书
测试方法需要用到目标证书的叶证书与中间证书,可以通过浏览器访问正在使用这张证书的域名,点击导航栏小锁图标查看证书信息获取。如果仅签发,并没有使用这张证书,可以在 crt.sh 或 Facebook 的 Certificate Transparency Monitoring 工具中搜索相关信息获取。
我个人推荐 crt.sh,因为 Facebook 的工具需要登录帐号,一些网络状况不佳的朋友可能使用起来比较困难。但也因此,使用门槛低的 crt.sh 的用户比较多,容易崩溃,如果遇到长时间没有响应的情况就不得不注册一个 FB 帐号用它的工具了。
这里以 crt.sh 为例。首先搜索域名,点击想要证书左侧的 ID,滑动到左下方 Download PEM,将叶证书保存为 cert.pem,中间证书保存为 issuer.pem,并保存 Authority Info (AIA) 中的 Online Certificate Status Protocol (OCSP) Location 部分,如 http://status.geotrust.com。
进行测速
time openssl ocsp -issuer issuer.pem -cert cert.pem -url http://ocsp.example.com -resp_texthttp://ocsp.example.com 替换为准备工作中的 OCSP Location 链接。
返回的内容中,可以忽略 OCSP Response Data,仅关注最下方的时间,比如:
real 0m0.367s
user 0m0.000s
sys 0m0.004s第一个 real 就是 OCSP 服务器响应的时间,第二行、第三行 user 为用户 CPU 时间,sys 为系统 CPU 时间,与测速结果无关,可以忽略。
部分证书品牌测速
执行测试的服务器为广东广州阿里云,同日三个不同时间段均测试一次取平均值,单位为毫秒,结果仅供参考。
| 品牌 | 备注 |
|---|---|
| Let’s Encrypt | 以 R10 / http://r10.o.lencr.org 为例 |
| Google Trust Services | 以 WE1 / http://o.pki.goog/s/we1/qns 为例 |
| ZeroSSL | 以 ZeroSSL ECC Domain Secure Site CA / http://zerossl.ocsp.sectigo.com 为例 |
| Sectigo | 以 Sectigo RSA Domain Validation Secure Server CA / http://ocsp.sectigo.com 为例 |
| TrustAsia | 以 TrustAsia RSA EV TLS CA G2 / http://ocsp.trust-provider.cn 为例 |
| GeoTrust | 以 GeoTrust TLS RSA CA G1 / http://status.geotrust.com 为例 |
本文地址:https://www.princewen.cn/posts/testing-ocsp-performance-with-openssl/
本文所有内容均为原创,并遵循 CC BY-NC-SA 4.0 协议,转载请保留原文链接与作者。