证书提供中国境内的OCSP缓存服务器,有助于HTTPS服务器访问的稳定性和可用性。
什么是OCSP?
OCSP(Online Certificate Status Protocol)即在线证书状态协议,是一个互联网协议,用于获取符合X.509标准的数字证书的状态,是维护服务器和其它网络资源安全的两种普通方法之一。 一般浏览器在打开一个网站的时候,会去查看OCSP证书的有效性,如果查看速度慢会影响到网站的打开速度。(并不是所有浏览器都会去查询OCSP) , Chrome PC版的浏览器一般都不查询。而是通过CTlog来验证(证书透明度日志)https://certificate.transparency.dev/howctworks/
OCSP是如何工作的?
OCSP协议的产生是用于在公钥基础设施(PKI)体系中替代证书吊销列表(CRL)来查询数字证书的状态。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求,并将请求转发到一个OCSP响应器(服务器),响应器建立与CA证书库链接查询该证书的状态,然后回复“有效”、“注销”或“未知”的响应。
哪些SSL证书品牌支持国内OCSP查询?
CFCA、Digicert、GlobalSign等品牌支持国内OCSP查询。
如何查询SSL证书是国外OCSP还是国内OCSP?
复制自己的证书,使用证书解析工具解码,可以看到 OCSP URI: http://ocsp.sectigo.com , 可以通过ip.cn查询该地址是国内还是海外IP地址。
使用国内OCSP服务器证书有什么好处?
1. 有效提升证书状态查询效率,加快HTTPS网站访问速度。
2. 本地化OCSP服务器有助于HTTPS服务器访问的稳定性和可用性。
3. 解决了网络效率问题,有利于用户体验和在线交易的提高。
注意:国内PKI建立自主品牌名称实现国内OCSP上一级证书链OCSP隶属于CA机构国外,所以这种情况下建议直接使用官方CA产品,避免增加折转OCSP。