webpagetest.org 결과에 임의로 OSCP 요청이 표시됨

Question

webpagetest.org에서 웹 사이트 성능을 테스트 할 때 결국 일부 브라우저에는 선택한 브라우저에서 요청해서는 안되는 요청이 포함됩니다.

예 : 내가 구글 크롬과 테스트를 실행하지만 https://www.webpagetest.org/result/170425_AH_NP7/1/details/#waterfall_view_step1

가, 두 번째 요청은 사용자 에이전트에 의해 수행됩니다 마이크로 소프트의 CryptoAPI/6.1 는 호스트하기 : gm.symcd.com

다시 같은 테스트를 실행하면 대개 이러한 요청이 없어도 실행됩니다.

이 문제는 www.webpagetest.org와 Windows 호스트에 설치된 당사의 로컬 WPT에서 발생합니다.

User-Agent는 처음에 Windows Update Agent를 소스로 의심했지만 gm.symcd.com 호스트는 Symantec에 속한 것 같습니다.

누구나 동일한 행동을 경험 했습니까? 이러한 원하지 않는 요청을 방지하기 위해 최선의 조치는 무엇입니까?

Answer 1

SSL 인증서가 유효하고 취소되지 않았 음을 보장하기 위해 임의로 보이는 요청이 OSCP 조회 (RFC 2560: Online Certificate Status Protocol)입니다.

서버가 OSCP 스테이플 링 (RFC 6961: Multiple Certificate Status Request Extension)을하지 않는 한 클라이언트의 OSCP 조회는 SSL 인증서 체인과 함께 서명 된 신뢰할 수있는 OSCP 응답을 제공함을 의미합니다.

패트릭 미넌 (Patrick Meenan)은 "웹 서버에서 OCSP 스테이플 링을 사용 가능하게 설정하는 것이 성능 향상 문제입니다."라고 지적했습니다.

서버가 OSCP 데이터를 스테이플하지 않으면 클라이언트는 최근 OSCP 요청의 유효한 캐시 된 응답을 이미 갖고 있지 않은 한 OSCP 요청을 만들어야합니다. Windows 클라이언트에서 유효한 캐시 된 응답이없는 경우 OSCP 요청은 운영 체제의 CryptoAPI를 통해 제출됩니다.

반복적 인 웹 페이지 테스트 결과를 얻으려면 테스트 시작시 인증서 캐시가 비어 있어야하며, webpagetest.org의 경우 고급 설정 -> 고급 -> "SSL 인증서 캐시 지우기"에서 구성해야합니다.

Answer 2

OCSP는 인증서 해지를 확인하는 데 사용됩니다. 대답은 며칠 동안 캐시 될 수 있습니다.

당신이 당신의 서버에, 당신 수있는 활성 "OCSP 스테이플 링의"CA에 OCSP 요청을 피하고 싶은 경우 서버가 정기적으로 CA에 요청을하고 클라이언트 핸드 쉐이크 동안 서명 된 답을 제공합니다입니다 모든 방문자의 시간을 절약 할 수 있습니다.