OSCP请求随机出现在webpagetest.org结果中

Question

在用webpagetest.org测试网站性能时，一些测试最终包含了我没有预料到的请求，因为它们没有由代码中的任何内容(HTML、CSS、JavaScript)发起。更令人惊讶的是，请求用户代理与正在使用的浏览器不匹配。

示例：step1

虽然我在Google上运行了一个测试，但是第二个请求是由用户代理完成的:Microsoft/6.1到Host: gm.symcd.com

重新运行相同的测试通常导致在没有任何这些请求的情况下运行。

这种情况发生在www.webpagetest.org以及我们公司在windows主机上的本地WPT安装上。

用户代理首先让我怀疑Windows是一个源，但是主机gm.symcd.com似乎属于赛门铁克。

有没有人经历过同样的行为？防止这些意外请求的最佳方法是什么？

Answer 1

那些看似随机的请求是OSCP查找(RFC 2560:在线证书状态协议)，以确保SSL证书仍然有效，并且没有被撤销。

只有当服务器执行OSCP装订(RFC 6961:多证书状态请求扩展)时，客户端才需要OSCP查找，这意味着它在SSL证书链旁边提供了一个签名的权威性OSCP响应。

因此，正如Patrick所指出的，“使它们不发生的性能修复方法是在web服务器上启用OCSP装订。”

如果服务器不固定OSCP数据，客户端应该发出OSCP请求，除非它已经具有来自最近OSCP请求的有效缓存响应。在Windows上，除非已经存在有效的缓存响应，否则OSCP请求将通过操作系统的CryptoAPI提交。

为了确保可重复的网页测试结果，测试应该要求证书缓存在测试开始时为空，在webpagetest.org上配置为Advanced -> Advanced ->“certificate”。

Answer 2

OCSP用于检查证书的吊销。答案可以缓存几天。

如果您想避免对CA的OCSP请求，您可以在您的服务器上激活"OCSP吻合器“：您的服务器将定期向CA发出请求，并在客户端握手: is期间提供签名的答复，这将为您的所有访问者节省时间。