一句话概括就是:OCSP 是 server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。OCSP 实时查询会增加客户端的性能开销。因此,可以考虑通过 OCSP stapling 的方案来解决:OCSP stapling 是一种允许在 TLS 握手中包含吊销信息的协议功能,启用 OCSP stapling 后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程中返回给客户端。增加的握手信息大小在 1KB 以内,但省去了用户代理独立验证吊销状态的时间。启用 OCSP stapling 的方式有很多种,比如在线校验。此方式需要支持服务器能够主动访问……