Windows IIS OCSP的开启和检测

题目虽然是“Windows IIS OCSP的开启和检测”，实际上检测方法是通用的，Web Server不限于是IIS还是Apache、Nginx等。

腾讯云所有Windows未下线镜像对应的IIS版本都支持OCSP（系统≥server2008或≥Vista）

双击导入这个注册表项即可开启OCSP

这是我在https://freessl.cn/ 申请的免费证书：full_chain.pem和private.key

在Linux里，用openssl x509 -in full_chain.pem -noout -ocsp_uri 生成OCSP地址

我域名test.sanqinyinshi.cn接入了腾讯云CDN，目前腾讯云CDN支持tls1.0/1.1/1.2

用以下3条命令验证是否开启了OCSP，出现“OCSP response: no response sent”的概率较高，但也有成功的时候，怀疑是OCSP服务器在海外，中国大陆访问海外，丢包率较高，所以时通时不通

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1 -tlsextdebug -status | grep -A 17 'OCSP response:'

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1_1 -tlsextdebug -status | grep -A 17 'OCSP response:'

openssl s_client -connect test.sanqinyinshi.cn:443 -servername test.sanqinyinshi.cn -tls1_2 -tlsextdebug -status | grep -A 17 'OCSP response:'

我证书的OCSP地址是http://statusf.digitalcertvalidation.com，于是我ping这个域名看了下丢包率

ping statusf.digitalcertvalidation.com -c 100 > ping.info

20%的丢包率，国外的，可以理解

OCSP服务器被限制访问或OCSP服务器访问慢，会导致https访问慢。由于大多数全球权威CA的OCSP站点都设在国外，当网络环境较差、出现网络故障以及遇到特殊时期网络封锁，客户端无法连接到OCSP站点，或者OCSP站点无法返回证书状态内容，导致HTTPS请求可能还没到多次握手阶段，就先卡在了OCSP环节，直接影响网站的访问速度，严重时造成网站瘫痪无法访问。

综上，开启OCSP要谨慎。

另外，有个在线检测OCSP的工具挺方便的：https://crt.sh/

输入域名点查询，然后点ID进去能看到一个check按钮，变成Good说明开启OCSP了