为了保证数据传输的安全性，即便是在内网，在某些场景下使用HTTPS服务也是非常有必要的。相信大家在内网访问HTTPS服务时，或多或少出现过响应缓慢的现象，影响了使用体验。排除系统本身的功能问题，这种情况大概率是由于内网环境的终端无法访问外部网站完成证书校验导致的。

鉴于此类问题时常给HTTPS服务部署人员和使用人员带来困扰，我对此类问题进行了深入的研究。现将已取得的研究成果分享给大家，本次分享主要有三个目的：第一是帮助项目组在内网部署HTTPS服务时少走一些弯路，为用户提供更好的体验；第二是用户在使用HTTPS服务时，遇到类似问题可以通过修改操作系统或浏览器的配置提升访问体验，可为每个人每次访问节省约10秒钟的时间；第三是帮助项目组后续在企业内部信创终端(浏览器内核与Chrome一致)推广时提前识别问题确保用户访问体验。

HTTPS 最关键点在于证书，这里首先介绍下关于证书的背景知识。HTTPS使用的证书按证书来源可以分为自签名证书和外部CA机构颁发的证书，按证书类型可以分为DV证书、OV证书和EV证书。

DV证书：中文全称是域名验证型证书，证书审核⽅式为通过验证域名所有权即可签发证书。此类型证书适合个⼈和⼩微企业申请，价格较低，申请快捷， 但是证书中⽆法显⽰企业信息。在浏览器中显示锁型标志。

OV证书：中文全称是企业验证型证书，证书审核⽅式为通过验证域名所有权和申请企业的真实⾝份信息才能签发证书。此证书类型适合中型企业和互联⽹业务申请。在浏览器中显示锁型标志，并能通过点击查看到企业相关信息。

EV证书：中⽂全称是增强验证型证书，证书审核级别为所有类型最严格验证⽅式，在OV类型的验证基础上额外验证其他企业的相关信息，⽐如银⾏开户许可证书。EV类型证书多使⽤于银⾏,⾦融,证券,支付等⾼安全标准⾏业。其在地址栏可以显⽰独特的EV绿⾊标识地址栏，最⼤程度的标识出⽹站的可信级别。

以下是企业内网常用HTTPS证书的对比说明：

由以上对比可见，自签名证书需要根证书向企业内部所有终端下发，可以定制有效期且适用各种类型的域名，包括非标准域名；而CA机构颁发的证书除了需要花钱外，有效期仅有1年，需要每年更新证书，且只能为.com、.cn这种标准域名颁发证书。具体选用哪种证书需要根据应用具体情况确定。

介绍完上面的背景知识，下面我们分别对IE和Chrome浏览器访问内网HTTPS服务遇到的访问慢的现象，从问题原因至解决方案，从服务部署和服务使用2个角度给出最佳的配置建议。

一、IE浏览器访问缓慢问题

在内网伤使用IE浏览器第一次访问某部署自签名证书的HTTPS服务器时，页面会出现较长时间的白屏，排除系统本身功能或网络问题，大概率原因是客户端与服务端在进行SSL握手时，服务端将证书传到客户端，客户端会校验服务端证书链是否已被吊销，这个校验操作是需要访问互联网地址来实现的。然而我们的终端在内网无法访问互联网所以需要一直等到连接超时才会继续下一步操作。

解决方案主要有以下2种：

方案1：修改Windows操作系统组策略配置，关闭自动根证书更新。如果HTTPS服务使用的是自签名证书，或者受信任的根证书列表中不存在签发该证书的根证书时，请尝试这种方式。

具体的配置路径：

Windows默认为未配置，当访问一个根证书不受信任的网站时，Windows将自动连接到Windows Update 网站，去查找根证书是否为受信任的公司或组织并更新到电脑。

方案2：关闭IE浏览器自带检查证书吊销配置。这种方式适用于使用三方的CA证书或证书中有CRL或OCSP信息字段时。

二、Chrome浏览器访问缓慢问题

当使用Chrome浏览器第一次访问使用EV证书的HTTPS网站时，会出现长时间等待后才响应。这是因为Chrome浏览器会根据证书中配置的CRL或OCSP信息请求去请求互联网网地址。同样内网环境访问互联网地址，进而导致响应会超时（具体时间与TCP协议的重新连接机制有关系），页面较长时间白屏。

访问使用DV 证书和OV证书的服务则不会出现访问吊销列表请求的现象，其原因为Chrome在这两种场景下并不使用证书的CRL和OCSP信息，而是访问自己维护的证书吊销信息（异步更新到浏览器本地，不会影响访问体验）；而在EV证书场景下Chrome则会访问证书中的CRL和OCSP信息。所以建议在内网部署HTTPS服务时优先选择DV证书即可（OV证书和EV证书价格高且内部使用时作用有限）。

除了上面介绍的解决方案之外，无论是IE浏览器的问题还是Chrome浏览器的访问缓慢问题，理论上都可以通过将CRL和OCSP地址添加到互联网访问的白名单的方式来解决，只不过这种方式要相对麻烦。

三、总结与建议

在内网部署HTTPS服务，推荐使用企业内部CA颁发的证书或第三方CA颁发的DV证书（企业内部CA颁发的证书和第三方CA颁发的证书可以通过OA向应用运维处室提交申请获取）；在内网使用HTTPS服务，若在访问过程中，遇到页面长时间白屏的问题（排除系统本身问题），推荐参照上面的步骤启用证书更新组策略或关闭IE浏览器的相关配置以获得更好的访问体验。当然如果是在互联网环境使用终端的话，为安全起见还是建议保持Windows和IE浏览器的默认配置。

蓝队云作为专业的云计算及网络安全服务商，提供多个品牌的SSL证书，包含国内网站证书，价格实惠，可一次购买多年，帮你免费部署，欢迎了解查看。SSL证书 – https证书就选蓝队云