為了保證數(shù)據(jù)傳輸的安全性，即便是在內(nèi)網(wǎng)，在某些場景下使用HTTPS服務也是非常有必要的。相信大家在內(nèi)網(wǎng)訪問HTTPS服務時，或多或少出現(xiàn)過響應緩慢的現(xiàn)象，影響了使用體驗。排除系統(tǒng)本身的功能問題，這種情況大概率是由于內(nèi)網(wǎng)環(huán)境的終端無法訪問外部網(wǎng)站完成證書校驗導致的。

鑒于此類問題時常給HTTPS服務部署人員和使用人員帶來困擾，我對此類問題進行了深入的研究?，F(xiàn)將已取得的研究成果分享給大家，本次分享主要有三個目的：第一是幫助項目組在內(nèi)網(wǎng)部署HTTPS服務時少走一些彎路，為用戶提供更好的體驗；第二是用戶在使用HTTPS服務時，遇到類似問題可以通過修改操作系統(tǒng)或瀏覽器的配置提升訪問體驗，可為每個人每次訪問節(jié)省約10秒鐘的時間；第三是幫助項目組后續(xù)在企業(yè)內(nèi)部信創(chuàng)終端(瀏覽器內(nèi)核與Chrome一致)推廣時提前識別問題確保用戶訪問體驗。

HTTPS 最關(guān)鍵點在于證書，這里首先介紹下關(guān)于證書的背景知識。HTTPS使用的證書按證書來源可以分為自簽名證書和外部CA機構(gòu)頒發(fā)的證書，按證書類型可以分為DV證書、OV證書和EV證書。

DV證書：中文全稱是域名驗證型證書，證書審核?式為通過驗證域名所有權(quán)即可簽發(fā)證書。此類型證書適合個?和?微企業(yè)申請，價格較低，申請快捷， 但是證書中?法顯?企業(yè)信息。在瀏覽器中顯示鎖型標志。

OV證書：中文全稱是企業(yè)驗證型證書，證書審核?式為通過驗證域名所有權(quán)和申請企業(yè)的真實?份信息才能簽發(fā)證書。此證書類型適合中型企業(yè)和互聯(lián)?業(yè)務申請。在瀏覽器中顯示鎖型標志，并能通過點擊查看到企業(yè)相關(guān)信息。

EV證書：中?全稱是增強驗證型證書，證書審核級別為所有類型最嚴格驗證?式，在OV類型的驗證基礎(chǔ)上額外驗證其他企業(yè)的相關(guān)信息，?如銀?開戶許可證書。EV類型證書多使?于銀?,?融,證券,支付等?安全標準?業(yè)。其在地址欄可以顯?獨特的EV綠?標識地址欄，最?程度的標識出?站的可信級別。

以下是企業(yè)內(nèi)網(wǎng)常用HTTPS證書的對比說明：

由以上對比可見，自簽名證書需要根證書向企業(yè)內(nèi)部所有終端下發(fā)，可以定制有效期且適用各種類型的域名，包括非標準域名；而CA機構(gòu)頒發(fā)的證書除了需要花錢外，有效期僅有1年，需要每年更新證書，且只能為.com、.cn這種標準域名頒發(fā)證書。具體選用哪種證書需要根據(jù)應用具體情況確定。

介紹完上面的背景知識，下面我們分別對IE和Chrome瀏覽器訪問內(nèi)網(wǎng)HTTPS服務遇到的訪問慢的現(xiàn)象，從問題原因至解決方案，從服務部署和服務使用2個角度給出最佳的配置建議。

一、IE瀏覽器訪問緩慢問題

在內(nèi)網(wǎng)傷使用IE瀏覽器第一次訪問某部署自簽名證書的HTTPS服務器時，頁面會出現(xiàn)較長時間的白屏，排除系統(tǒng)本身功能或網(wǎng)絡問題，大概率原因是客戶端與服務端在進行SSL握手時，服務端將證書傳到客戶端，客戶端會校驗服務端證書鏈是否已被吊銷，這個校驗操作是需要訪問互聯(lián)網(wǎng)地址來實現(xiàn)的。然而我們的終端在內(nèi)網(wǎng)無法訪問互聯(lián)網(wǎng)所以需要一直等到連接超時才會繼續(xù)下一步操作。

解決方案主要有以下2種：

方案1：修改Windows操作系統(tǒng)組策略配置，關(guān)閉自動根證書更新。如果HTTPS服務使用的是自簽名證書，或者受信任的根證書列表中不存在簽發(fā)該證書的根證書時，請嘗試這種方式。

具體的配置路徑：

Windows默認為未配置，當訪問一個根證書不受信任的網(wǎng)站時，Windows將自動連接到Windows Update 網(wǎng)站，去查找根證書是否為受信任的公司或組織并更新到電腦。

方案2：關(guān)閉IE瀏覽器自帶檢查證書吊銷配置。這種方式適用于使用三方的CA證書或證書中有CRL或OCSP信息字段時。

二、Chrome瀏覽器訪問緩慢問題

當使用Chrome瀏覽器第一次訪問使用EV證書的HTTPS網(wǎng)站時，會出現(xiàn)長時間等待后才響應。這是因為Chrome瀏覽器會根據(jù)證書中配置的CRL或OCSP信息請求去請求互聯(lián)網(wǎng)網(wǎng)地址。同樣內(nèi)網(wǎng)環(huán)境訪問互聯(lián)網(wǎng)地址，進而導致響應會超時（具體時間與TCP協(xié)議的重新連接機制有關(guān)系），頁面較長時間白屏。

訪問使用DV 證書和OV證書的服務則不會出現(xiàn)訪問吊銷列表請求的現(xiàn)象，其原因為Chrome在這兩種場景下并不使用證書的CRL和OCSP信息，而是訪問自己維護的證書吊銷信息（異步更新到瀏覽器本地，不會影響訪問體驗）；而在EV證書場景下Chrome則會訪問證書中的CRL和OCSP信息。所以建議在內(nèi)網(wǎng)部署HTTPS服務時優(yōu)先選擇DV證書即可（OV證書和EV證書價格高且內(nèi)部使用時作用有限）。

除了上面介紹的解決方案之外，無論是IE瀏覽器的問題還是Chrome瀏覽器的訪問緩慢問題，理論上都可以通過將CRL和OCSP地址添加到互聯(lián)網(wǎng)訪問的白名單的方式來解決，只不過這種方式要相對麻煩。

三、總結(jié)與建議

在內(nèi)網(wǎng)部署HTTPS服務，推薦使用企業(yè)內(nèi)部CA頒發(fā)的證書或第三方CA頒發(fā)的DV證書（企業(yè)內(nèi)部CA頒發(fā)的證書和第三方CA頒發(fā)的證書可以通過OA向應用運維處室提交申請獲?。辉趦?nèi)網(wǎng)使用HTTPS服務，若在訪問過程中，遇到頁面長時間白屏的問題（排除系統(tǒng)本身問題），推薦參照上面的步驟啟用證書更新組策略或關(guān)閉IE瀏覽器的相關(guān)配置以獲得更好的訪問體驗。當然如果是在互聯(lián)網(wǎng)環(huán)境使用終端的話，為安全起見還是建議保持Windows和IE瀏覽器的默認配置。

藍隊云作為專業(yè)的云計算及網(wǎng)絡安全服務商，提供多個品牌的SSL證書，包含國內(nèi)網(wǎng)站證書，價格實惠，可一次購買多年，幫你免費部署，歡迎了解查看。SSL證書 – https證書就選藍隊云