為了保證數據傳輸的安全性，即便是在內網，在某些場景下使用HTTPS服務也是非常有必要的。相信大家在內網訪問HTTPS服務時，或多或少出現過響應緩慢的現象，影響了使用體驗。排除系統本身的功能問題，這種情況大概率是由于內網環境的終端無法訪問外部網站完成證書校驗導致的。

鑒于此類問題時常給HTTPS服務部署人員和使用人員帶來困擾，我對此類問題進行了深入的研究。現將已取得的研究成果分享給大家，本次分享主要有三個目的：第一是幫助項目組在內網部署HTTPS服務時少走一些彎路，為用戶提供更好的體驗；第二是用戶在使用HTTPS服務時，遇到類似問題可以通過修改操作系統或瀏覽器的配置提升訪問體驗，可為每個人每次訪問節省約10秒鐘的時間；第三是幫助項目組后續在企業內部信創終端(瀏覽器內核與Chrome一致)推廣時提前識別問題確保用戶訪問體驗。

HTTPS 最關鍵點在于證書，這里首先介紹下關于證書的背景知識。HTTPS使用的證書按證書來源可以分為自簽名證書和外部CA機構頒發的證書，按證書類型可以分為DV證書、OV證書和EV證書。

DV證書：中文全稱是域名驗證型證書，證書審核?式為通過驗證域名所有權即可簽發證書。此類型證書適合個?和?微企業申請，價格較低，申請快捷， 但是證書中?法顯?企業信息。在瀏覽器中顯示鎖型標志。

OV證書：中文全稱是企業驗證型證書，證書審核?式為通過驗證域名所有權和申請企業的真實?份信息才能簽發證書。此證書類型適合中型企業和互聯?業務申請。在瀏覽器中顯示鎖型標志，并能通過點擊查看到企業相關信息。

EV證書：中?全稱是增強驗證型證書，證書審核級別為所有類型最嚴格驗證?式，在OV類型的驗證基礎上額外驗證其他企業的相關信息，?如銀?開戶許可證書。EV類型證書多使?于銀?,?融,證券,支付等?安全標準?業。其在地址欄可以顯?獨特的EV綠?標識地址欄，最?程度的標識出?站的可信級別。

以下是企業內網常用HTTPS證書的對比說明：

由以上對比可見，自簽名證書需要根證書向企業內部所有終端下發，可以定制有效期且適用各種類型的域名，包括非標準域名；而CA機構頒發的證書除了需要花錢外，有效期僅有1年，需要每年更新證書，且只能為.com、.cn這種標準域名頒發證書。具體選用哪種證書需要根據應用具體情況確定。

介紹完上面的背景知識，下面我們分別對IE和Chrome瀏覽器訪問內網HTTPS服務遇到的訪問慢的現象，從問題原因至解決方案，從服務部署和服務使用2個角度給出最佳的配置建議。

一、IE瀏覽器訪問緩慢問題

在內網傷使用IE瀏覽器第一次訪問某部署自簽名證書的HTTPS服務器時，頁面會出現較長時間的白屏，排除系統本身功能或網絡問題，大概率原因是客戶端與服務端在進行SSL握手時，服務端將證書傳到客戶端，客戶端會校驗服務端證書鏈是否已被吊銷，這個校驗操作是需要訪問互聯網地址來實現的。然而我們的終端在內網無法訪問互聯網所以需要一直等到連接超時才會繼續下一步操作。

解決方案主要有以下2種：

方案1：修改Windows操作系統組策略配置，關閉自動根證書更新。如果HTTPS服務使用的是自簽名證書，或者受信任的根證書列表中不存在簽發該證書的根證書時，請嘗試這種方式。

具體的配置路徑：

Windows默認為未配置，當訪問一個根證書不受信任的網站時，Windows將自動連接到Windows Update 網站，去查找根證書是否為受信任的公司或組織并更新到電腦。

方案2：關閉IE瀏覽器自帶檢查證書吊銷配置。這種方式適用于使用三方的CA證書或證書中有CRL或OCSP信息字段時。

二、Chrome瀏覽器訪問緩慢問題

當使用Chrome瀏覽器第一次訪問使用EV證書的HTTPS網站時，會出現長時間等待后才響應。這是因為Chrome瀏覽器會根據證書中配置的CRL或OCSP信息請求去請求互聯網網地址。同樣內網環境訪問互聯網地址，進而導致響應會超時（具體時間與TCP協議的重新連接機制有關系），頁面較長時間白屏。

訪問使用DV 證書和OV證書的服務則不會出現訪問吊銷列表請求的現象，其原因為Chrome在這兩種場景下并不使用證書的CRL和OCSP信息，而是訪問自己維護的證書吊銷信息（異步更新到瀏覽器本地，不會影響訪問體驗）；而在EV證書場景下Chrome則會訪問證書中的CRL和OCSP信息。所以建議在內網部署HTTPS服務時優先選擇DV證書即可（OV證書和EV證書價格高且內部使用時作用有限）。

除了上面介紹的解決方案之外，無論是IE瀏覽器的問題還是Chrome瀏覽器的訪問緩慢問題，理論上都可以通過將CRL和OCSP地址添加到互聯網訪問的白名單的方式來解決，只不過這種方式要相對麻煩。

三、總結與建議

在內網部署HTTPS服務，推薦使用企業內部CA頒發的證書或第三方CA頒發的DV證書（企業內部CA頒發的證書和第三方CA頒發的證書可以通過OA向應用運維處室提交申請獲取）；在內網使用HTTPS服務，若在訪問過程中，遇到頁面長時間白屏的問題（排除系統本身問題），推薦參照上面的步驟啟用證書更新組策略或關閉IE瀏覽器的相關配置以獲得更好的訪問體驗。當然如果是在互聯網環境使用終端的話，為安全起見還是建議保持Windows和IE瀏覽器的默認配置。

藍隊云作為專業的云計算及網絡安全服務商，提供多個品牌的SSL證書，包含國內網站證書，價格實惠，可一次購買多年，幫你免費部署，歡迎了解查看。SSL證書 – https證書就選藍隊云