letsencrypt证书在 ios 上访问慢

sunny123456

目前是在 ios 手机上使用发现的，刚进去的时候会等个 4 5秒，第二次就好了

sunny123456

还有一个问题，tls 1.3 配置无效怎么回事？？？
配置内容
       ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
        ssl_session_cache builtin:1000 shared:SSL:10m;
        # openssl dhparam -out /usr/local/nginx/conf/ssl/dhparam.pem 2048
        ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;

licess

https首次的话肯定会比http时间要长


不清楚你说的配置无效是哪里报错和具体错误信息无法确定什么原因

sunny123456

licess 发表于 2020-6-18 16:41
https首次的话肯定会比http时间要长

关于慢的问题，暂时发现网上的说法是 Letsencrypt 国内 dns被污染的原因.
还有一个就是 配置了 ssl 的 tls v1.3 无效，检测网站还是 tlsv 1.2

sunny123456

licess 发表于 2020-6-18 16:41
https首次的话肯定会比http时间要长

网站配置了 这个 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;  ，但是我检测发现 TLSv1.3 显示的是不支持的状态，另外怎么把 TLSv1 TLSv1.1 禁用掉？？谢谢打捞了

sunny123456

第二个问题解决了，是因为空主机头的问题
https://bbs.vpser.net/forum.php? ... 3&highlight=tls

licess

ios是默认检查ocsp的，所有是要连letsencrypt的ocsp服务器进行验证，联不通的话是会有影响，不过可以通过自己把OCSP response缓存下来，nginx上使用ssl_stapling_file来指定ocsp response缓存文件，不过缓存只有7天有效期得定期更新

其他解决方案就是nginx增加 ssl_stapling_responder 配置个ocsp-proxy

sunny123456

licess 发表于 2020-6-19 09:32
ios是默认检查ocsp的，所有是要连letsencrypt的ocsp服务器进行验证，联不通的话是会有影响，不过可以通过 ...

好的，谢谢大佬，我去看下

木风木

启用ocsp封装即可！因为letsencrypt的ocsp认证服务器目前国内DNS污染，所以国内访问不了