OCSP stapling是Https优化方案之一，将原本需要客户端实时发起的 OCSP 请求转嫁给服务端

• 在线证书状态协议（Online Certificate Status Protocol），简称 OCSP，是一个用于获取 X.509 数字证书撤销状态的网际协议，在 RFC 6960 中定义。OCSP 用于检验证书合法性，查询服务一般由证书所属 CA 提供。OCSP 查询的本质，是一次完整的 HTTP 请求加响应的过程，这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤，都将耗费更多时间，使得建立 TLS 花费更多时长。
• OCSP存在隐私和性能问题。

1. 浏览器直接去请求第三方CA(Certificate Authority, 数字证书认证机构)，会暴露网站的访客(CA 机构会知道哪些用户在访问我们的网站)；
2. 浏览器进行OCSP查询会降低HTTPS性能(访问我们的网站会变慢) OCSP实时查询会增加客户端的性能开销。

OCSP Stapling将原本需要客户端实时发起的 OCSP 请求转嫁给服务端，Web 端将主动获取 OCSP 查询结果，并随证书一起发送给客户端，以此让客户端跳过自己去寻求验证的过程，提高 TLS 握手效率。 可以提高HTTPS性能。

开启ocsp装订

在网站配置文件中添加以下内容

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

 # 开启 OCSP Stapling ---当客户端访问时 NginX 将去指定的证书中查找 OCSP 服务的地址，
获得响应内容后通过证书链下发给客户端。
    ssl_stapling on;
## 启用OCSP响应验证，OCSP信息响应适用的证书
    ssl_stapling_verify on;
##若 ssl_certificate 指令指定了完整的证书链，则 ssl_trusted_certificate 可省略。
    ssl_trusted_certificate /path/to/xxx.pem;
##添加resolver解析OSCP响应服务器的主机名，valid表示缓存。
    resolver 8.8.8.8 8.8.4.4 valid=60s;
## resolver_timeout表示网络超时时间
    resolver_timeout 2s;

配置完成后可以去myssl查看有没有生效