HTTPS访问慢，微软这锅背不背

最近发现很多用户反馈：内网通过IE的方式访问HTTPS://IP的安全设备(堡垒机等)很慢，更细心的用户发现在配置DNS后很慢，不配置DNS很快。

在剖析问题前，先看下HTTP和HTTPS，随着互联网的飞速发展，数据的安全性也越来越重要，传统的基于HTTP的访问简单便捷但也存在者数据泄露的风险，越来越多的网站将HTTP换成了HTTPS，众所周知，HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer) 是基于HTTP的基础上加入了SSL层，相对于HTTP，HTTPS采用加密方式以防数据中途被盗取，大大降低了第三方窃取信息、篡改冒充身份的风险。

我们再回来看这个问题，到底和DNS有没有关系，到底为什么配了DNS会这么慢。

我们通过旁路镜像的方式将流量进行到NPM设备进行了快速分析，分析结果如下：

在没有配置DNS整个情况如下图：

从上图看客户端和服务端延迟很低，响应时间为2.8ms，整个体验过程流畅

上图为在没有配置DNS的情况下的整个交互过程，最大的时延为客户端发送Fin+Ack时延。

在看过没有配置DNS的情况，我们再看下配置DNS后发生了什么？

通过上图看客户端和服务端延迟很低，响应时间为4.9ms对比之前2.8ms并没有差太多，但是用户等了很长时间打开网页，说明并不是网络和服务器端问题。

通过上图，我们发现客户端的Fin+Ack好使30085ms，所以整个缓慢很容易看出是发生在客户端，我们再来分析下为什么客户端这么慢，到底和DNS有没有关系。

如上图，通过NPM 的DNS七层分析发现，在配置DNS后访问HTTPS的同时，DNS解析了ctldl.windowsupdate.com这个域名。

我们查看了ctldl.windowsupdate.com微软的根证书更新域名，在配置DNS后，PC能够解析ctldl.windowsupdate.com并在HTTPS访问堡垒机过程中进行证书更新，但是却无法与ctldl.windowsupdate.com进行交互，只能等待超时结束，造成了整个访问过程异常慢

（相关微软网站链接：https://support.microsoft.com/en-us/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window）

解决方法：通过gpedit.msc来修改组策略后问题完美解决，如下图配置。