事件由来

如果最近发现iOS APP打开h5非常慢，达到5秒以上，而安卓是正常，如果刚好你又是使用了Let's Encrypt 的免费SSL服务，恭喜你，你可能是一位运营商干扰的受害者。

正常的域名dig信息

dig ocsp.int-x3.letsencrypt.org

ocsp.int-x3.letsencrypt.org. 3510 IN CNAME ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net. 4190 IN CNAME a771.dscq.akamai.net.
a771.dscq.akamai.net. 600 IN A 69.63.180.173
;; AUTHORITY SECTION:
dscq.akamai.net. 2687 IN NS n4dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n1dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n3dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n0dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n7dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n5dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n6dscq.akamai.net.
dscq.akamai.net. 2687 IN NS n2dscq.akamai.net.
;; ADDITIONAL SECTION:
n1dscq.akamai.net. 3537 IN A 202.175.5.102
n0dscq.akamai.net. 3377 IN A 88.221.81.192
n7dscq.akamai.net. 3522 IN A 203.198.20.78
n5dscq.akamai.net. 1330 IN A 203.198.20.92
n4dscq.akamai.net. 2809 IN A 219.76.10.198
n2dscq.akamai.net. 3376 IN A 202.175.5.103
n3dscq.akamai.net. 412 IN A 202.175.5.101
n6dscq.akamai.net. 3964 IN A 203.198.20.92
n0dscq.akamai.net. 3378 IN AAAA 2600:1480:e800::c0

错误的dig信息

dig ocsp.int-x3.letsencrypt.org

ocsp.int-x3.letsencrypt.org. 97 IN CNAME ocsp.int-x3.letsencrypt.org.edgesuite.net.
ocsp.int-x3.letsencrypt.org.edgesuite.net. 97 IN CNAME a771.dscq.akamai.net.
a771.dscq.akamai.net. 97 IN A 174.36.228.136 #解析到爪哇国了

问题的原因在哪？

SSL服务，如果新版系统的ios web浏览器来浏览，会在加密通信的某个阶段，对CA证书的有效性进行验证，如果验证不了，一般也会允许访问，但会提示错误，这个验证，如果域名访问不了，你造成了等待超时才返回，这就是慢的原因。而非webview或安卓webview访问，因为没有实现ocsp验证的流程，故访问速度是正常的，没有区别。

因为Let's Encrypt的OCSP验证阶段，需要使用域名ocsp.int-x3.letsencrypt.org（x后面的数字可能是1-4中之一）进行验证，而这个域名对应的服务器是托管在a771.dscq.akamai.net，不知何故，最近墙把它拦截了，就导致所以h5的访问卡在这了，当然，如果你不用ssl是没有问题的。

如何解决这个问题呢？

1、不用ssl

2、等墙解封

3、在webserer配置 OCSP Stapling功能

如果你采用第3个方法，这里详细解释一下。

ocsp stapling是什么，简单的讲，就是将原来由各个用户去发起验证证书有效性的请求，由webserver代劳了，这样就不用每个用户都去连CA的验证服务器了，相对来说访问速度就会加快不了。如果你使用的是nginx，可以这样配置开启ocsp stapling：

ssl_stapling on;
ssl_stapling_verify on;
resolver 233.5.5.5 233.6.6.6 8.8.8.8 4.4.4.4 202.96.134.133 valid=300s;
resolver_timeout 2s;
ssl_trusted_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 180m;

*将配置里的your.domain.com替换成你自己的域名。

修改完配置重启webserver。

还有为了避免域名污染，导致解析失败，还需要修改/etc/resolve.conf（假设是CentOS），添加以下记录：

nameserver 223.5.5.5
nameserver 223.6.6.6
nameserver 8.8.8.8

等等，即使由服务器代劳，你服务器不也一样访问不了CA的验证服务器，如上述a771.dscq.akamai.net域名，你抓到关键点了，确实也访问不了，你如果通过网上的教程去配置，也会发现ocsp response请求会失败，错误提示如：

Error connecting BIO
Error querying OCSP responder
139844635846544:error:0200206E:system library:connect:Connection timed out:bss_conn.c:246:host=ocsp.int-x3.letsencrypt.org:80
139844635846544:error:20073067:BIO routines:CONN_STATE:connect error:bss_conn.c:249:

并且在webserver的error.log里有会有以下信息

[error] 13692#0: ocsp.int-x3.letsencrypt.org could not be resolved (110: Operation timed out) while requesting certificate status, responder: ocsp.int-x3.letsencrypt.org, certificate: "/etc/letsencrypt/live/your.domain.com/fullchain.pem"

嗯，验证仍然有问题的，但是经过测试，实际访问速度是正常的。第一次请求可能会慢，因为前几次请求，服务器会去请求验证，后面请求就会快了，即使没验证成功，它也会缓存这个结果。

相关链接:https://blog.csdn.net/weixin_42697074/article/details/106759143

相关链接:https://juejin.cn/post/6844904135653851150#heading-12