為了保證數(shù)據(jù)傳輸的安全性，即便是在內(nèi)網(wǎng)，在某些場(chǎng)景下使用HTTPS服務(wù)也是非常有必要的。相信大家在內(nèi)網(wǎng)訪問(wèn)HTTPS服務(wù)時(shí)，或多或少出現(xiàn)過(guò)響應(yīng)緩慢的現(xiàn)象，影響了使用體驗(yàn)。排除系統(tǒng)本身的功能問(wèn)題，這種情況大概率是由于內(nèi)網(wǎng)環(huán)境的終端無(wú)法訪問(wèn)外部網(wǎng)站完成證書校驗(yàn)導(dǎo)致的。

鑒于此類問(wèn)題時(shí)常給HTTPS服務(wù)部署人員和使用人員帶來(lái)困擾，我對(duì)此類問(wèn)題進(jìn)行了深入的研究?，F(xiàn)將已取得的研究成果分享給大家，本次分享主要有三個(gè)目的：第一是幫助項(xiàng)目組在內(nèi)網(wǎng)部署HTTPS服務(wù)時(shí)少走一些彎路，為用戶提供更好的體驗(yàn)；第二是用戶在使用HTTPS服務(wù)時(shí)，遇到類似問(wèn)題可以通過(guò)修改操作系統(tǒng)或?yàn)g覽器的配置提升訪問(wèn)體驗(yàn)，可為每個(gè)人每次訪問(wèn)節(jié)省約10秒鐘的時(shí)間；第三是幫助項(xiàng)目組后續(xù)在企業(yè)內(nèi)部信創(chuàng)終端(瀏覽器內(nèi)核與Chrome一致)推廣時(shí)提前識(shí)別問(wèn)題確保用戶訪問(wèn)體驗(yàn)。

HTTPS 最關(guān)鍵點(diǎn)在于證書，這里首先介紹下關(guān)于證書的背景知識(shí)。HTTPS使用的證書按證書來(lái)源可以分為自簽名證書和外部CA機(jī)構(gòu)頒發(fā)的證書，按證書類型可以分為DV證書、OV證書和EV證書。

DV證書：中文全稱是域名驗(yàn)證型證書，證書審核?式為通過(guò)驗(yàn)證域名所有權(quán)即可簽發(fā)證書。此類型證書適合個(gè)?和?微企業(yè)申請(qǐng)，價(jià)格較低，申請(qǐng)快捷， 但是證書中?法顯?企業(yè)信息。在瀏覽器中顯示鎖型標(biāo)志。

OV證書：中文全稱是企業(yè)驗(yàn)證型證書，證書審核?式為通過(guò)驗(yàn)證域名所有權(quán)和申請(qǐng)企業(yè)的真實(shí)?份信息才能簽發(fā)證書。此證書類型適合中型企業(yè)和互聯(lián)?業(yè)務(wù)申請(qǐng)。在瀏覽器中顯示鎖型標(biāo)志，并能通過(guò)點(diǎn)擊查看到企業(yè)相關(guān)信息。

EV證書：中?全稱是增強(qiáng)驗(yàn)證型證書，證書審核級(jí)別為所有類型最嚴(yán)格驗(yàn)證?式，在OV類型的驗(yàn)證基礎(chǔ)上額外驗(yàn)證其他企業(yè)的相關(guān)信息，?如銀?開(kāi)戶許可證書。EV類型證書多使?于銀?,?融,證券,支付等?安全標(biāo)準(zhǔn)?業(yè)。其在地址欄可以顯?獨(dú)特的EV綠?標(biāo)識(shí)地址欄，最?程度的標(biāo)識(shí)出?站的可信級(jí)別。

以下是企業(yè)內(nèi)網(wǎng)常用HTTPS證書的對(duì)比說(shuō)明：

由以上對(duì)比可見(jiàn)，自簽名證書需要根證書向企業(yè)內(nèi)部所有終端下發(fā)，可以定制有效期且適用各種類型的域名，包括非標(biāo)準(zhǔn)域名；而CA機(jī)構(gòu)頒發(fā)的證書除了需要花錢外，有效期僅有1年，需要每年更新證書，且只能為.com、.cn這種標(biāo)準(zhǔn)域名頒發(fā)證書。具體選用哪種證書需要根據(jù)應(yīng)用具體情況確定。

介紹完上面的背景知識(shí)，下面我們分別對(duì)IE和Chrome瀏覽器訪問(wèn)內(nèi)網(wǎng)HTTPS服務(wù)遇到的訪問(wèn)慢的現(xiàn)象，從問(wèn)題原因至解決方案，從服務(wù)部署和服務(wù)使用2個(gè)角度給出最佳的配置建議。

一、IE瀏覽器訪問(wèn)緩慢問(wèn)題

在內(nèi)網(wǎng)傷使用IE瀏覽器第一次訪問(wèn)某部署自簽名證書的HTTPS服務(wù)器時(shí)，頁(yè)面會(huì)出現(xiàn)較長(zhǎng)時(shí)間的白屏，排除系統(tǒng)本身功能或網(wǎng)絡(luò)問(wèn)題，大概率原因是客戶端與服務(wù)端在進(jìn)行SSL握手時(shí)，服務(wù)端將證書傳到客戶端，客戶端會(huì)校驗(yàn)服務(wù)端證書鏈?zhǔn)欠褚驯坏蹁N，這個(gè)校驗(yàn)操作是需要訪問(wèn)互聯(lián)網(wǎng)地址來(lái)實(shí)現(xiàn)的。然而我們的終端在內(nèi)網(wǎng)無(wú)法訪問(wèn)互聯(lián)網(wǎng)所以需要一直等到連接超時(shí)才會(huì)繼續(xù)下一步操作。

解決方案主要有以下2種：

方案1：修改Windows操作系統(tǒng)組策略配置，關(guān)閉自動(dòng)根證書更新。如果HTTPS服務(wù)使用的是自簽名證書，或者受信任的根證書列表中不存在簽發(fā)該證書的根證書時(shí)，請(qǐng)嘗試這種方式。

具體的配置路徑：

Windows默認(rèn)為未配置，當(dāng)訪問(wèn)一個(gè)根證書不受信任的網(wǎng)站時(shí)，Windows將自動(dòng)連接到Windows Update 網(wǎng)站，去查找根證書是否為受信任的公司或組織并更新到電腦。

方案2：關(guān)閉IE瀏覽器自帶檢查證書吊銷配置。這種方式適用于使用三方的CA證書或證書中有CRL或OCSP信息字段時(shí)。

二、Chrome瀏覽器訪問(wèn)緩慢問(wèn)題

當(dāng)使用Chrome瀏覽器第一次訪問(wèn)使用EV證書的HTTPS網(wǎng)站時(shí)，會(huì)出現(xiàn)長(zhǎng)時(shí)間等待后才響應(yīng)。這是因?yàn)镃hrome瀏覽器會(huì)根據(jù)證書中配置的CRL或OCSP信息請(qǐng)求去請(qǐng)求互聯(lián)網(wǎng)網(wǎng)地址。同樣內(nèi)網(wǎng)環(huán)境訪問(wèn)互聯(lián)網(wǎng)地址，進(jìn)而導(dǎo)致響應(yīng)會(huì)超時(shí)（具體時(shí)間與TCP協(xié)議的重新連接機(jī)制有關(guān)系），頁(yè)面較長(zhǎng)時(shí)間白屏。

訪問(wèn)使用DV 證書和OV證書的服務(wù)則不會(huì)出現(xiàn)訪問(wèn)吊銷列表請(qǐng)求的現(xiàn)象，其原因?yàn)镃hrome在這兩種場(chǎng)景下并不使用證書的CRL和OCSP信息，而是訪問(wèn)自己維護(hù)的證書吊銷信息（異步更新到瀏覽器本地，不會(huì)影響訪問(wèn)體驗(yàn)）；而在EV證書場(chǎng)景下Chrome則會(huì)訪問(wèn)證書中的CRL和OCSP信息。所以建議在內(nèi)網(wǎng)部署HTTPS服務(wù)時(shí)優(yōu)先選擇DV證書即可（OV證書和EV證書價(jià)格高且內(nèi)部使用時(shí)作用有限）。

除了上面介紹的解決方案之外，無(wú)論是IE瀏覽器的問(wèn)題還是Chrome瀏覽器的訪問(wèn)緩慢問(wèn)題，理論上都可以通過(guò)將CRL和OCSP地址添加到互聯(lián)網(wǎng)訪問(wèn)的白名單的方式來(lái)解決，只不過(guò)這種方式要相對(duì)麻煩。

三、總結(jié)與建議

在內(nèi)網(wǎng)部署HTTPS服務(wù)，推薦使用企業(yè)內(nèi)部CA頒發(fā)的證書或第三方CA頒發(fā)的DV證書（企業(yè)內(nèi)部CA頒發(fā)的證書和第三方CA頒發(fā)的證書可以通過(guò)OA向應(yīng)用運(yùn)維處室提交申請(qǐng)獲取）；在內(nèi)網(wǎng)使用HTTPS服務(wù)，若在訪問(wèn)過(guò)程中，遇到頁(yè)面長(zhǎng)時(shí)間白屏的問(wèn)題（排除系統(tǒng)本身問(wèn)題），推薦參照上面的步驟啟用證書更新組策略或關(guān)閉IE瀏覽器的相關(guān)配置以獲得更好的訪問(wèn)體驗(yàn)。當(dāng)然如果是在互聯(lián)網(wǎng)環(huán)境使用終端的話，為安全起見(jiàn)還是建議保持Windows和IE瀏覽器的默認(rèn)配置。

藍(lán)隊(duì)云作為專業(yè)的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商，提供多個(gè)品牌的SSL證書，包含國(guó)內(nèi)網(wǎng)站證書，價(jià)格實(shí)惠，可一次購(gòu)買多年，幫你免費(fèi)部署，歡迎了解查看。SSL證書 – https證書就選藍(lán)隊(duì)云