CN OCSP 是什么?有什么用途?
什么是 OCSP?
OCSP(Online Certificate Status Protocol,在线证书状态协议)是 PKI 体系中用来实时查询 SSL 证书是否被吊销的标准协议。客户端(如浏览器)在建立 HTTPS 连接时,向 CA 的 OCSP 服务器发起查询,验证证书当前是否有效。
什么是 CN OCSP?
CN OCSP 特指面向中国大陆区域部署的 OCSP 本地校验节点 / 国内 OCSP 解析服务。
由于主流 CA 的 OCSP 服务器大多部署在海外,国内客户端访问时可能出现以下问题:
- 延迟高,影响 HTTPS 握手速度
- 丢包或不可达,导致证书验证失败
- 部分网络环境下被干扰或拦截
CN OCSP 的用途
CN OCSP 通过在中国大陆内部署本地校验节点,实现以下目标:
- 加速证书状态查询:国内用户就近访问 OCSP 节点,大幅降低网络延迟
- 提升访问稳定性:避免跨境访问海外 OCSP 服务器的丢包和超时问题
- 防止误判:减少因网络不可达导致的证书"不受信任"错误
目前,锐安信(sslTrus)、CFCA 等品牌在国内均已部署 OCSP 节点,可有效保障国内用户的 SSL 证书验证体验。