OSCP请求随机出现在webpagetest.org结果中

问题描述：

当使用webpagetest.org测试网站性能时，最终某些测试包含的请求不应该被选定的浏览器请求。OSCP请求随机出现在webpagetest.org结果中

虽然我运行谷歌浏览器的测试，第二个请求是通过用户代理完成的：微软的CryptoAPI/6.1 到主持人：gm.symcd.com

回复运行相同的测试通常会导致没有任何请求的运行。

这发生在www.webpagetest.org以及我们公司在Windows主机上的本地WPT安装上。

用户代理首先让我怀疑Windows更新代理作为源，但主机gm.symcd.com似乎属于赛门铁克。

有没有人经历过同样的行为？防止这些不良请求的最佳做法是什么？

答

这些看似随机的请求是OSCP查找（RFC 2560: Online Certificate Status Protocol），以确保SSL证书仍然有效并且未被吊销。

只有客户端需要OSCP查找，除非服务器执行OSCP装订（RFC 6961: Multiple Certificate Status Request Extension），这意味着它会在SSL证书链旁边提供带符号的权威OSCP响应。

因此，正如Patrick Meenan指出的那样，“使它们不发生的性能修复是为了在Web服务器上启用OCSP Stapling。”

如果服务器没有装订OSCP数据，则客户端应该发出OSCP请求，除非它已经具有来自最近的OSCP请求的有效缓存响应。在Windows客户端上，OSCP请求将通过操作系统的CryptoAPI提交，除非已经存在有效的缓存响应。

为确保可重复的网页测试结果，测试应在开始测试时要求证书缓存为空，在webpagetest.org上配置高级设置 - >高级 - >“清除SSL证书缓存”。

答

OCSP用于检查证书的撤销。答案可以缓存几天。

如果你想避免OCSP请求给CA，你可以主动“OCSP装订”您的服务器上：你的服务器会定期做请求，CA，服务客户握手期间签署的答案：是将为您的所有访客节省时间。