最近大陆用户反应Let's Encrypt证书的网站在苹果系统打开很慢，Safari，IOS SSL引起的超过20秒左右的延时。

经过验证，主要原因为LE证书的吊销状态检查域名(ocsp.int-x3.letsencrypt.org以及相关CName或Alias)在大陆受到劫持引起。苹果系统的浏览器打开SSL网站时将对证书的状态进行验证，当在验证证书状态时，请求了被劫持的Let's Encrypt证书状态检查(OCSP)的服务器，而该服务器为不可使用状态或有很长延时，从而导致打开网站延时。

由于证书状态检查由苹果的浏览器（UIWebView， WKWebView、Safari）发起，而Chrome在访问SSL网站时并不进行这一项检查，所以大部分用户在Chrome中访问正常，只有在苹果系统中访问出现延时。

解决方案为：

在服务器上配置OCSP订书机（SSL Stapling）功能，然后强制让浏览器使用服务器提供的OCSP状态，而不是由浏览器去检查。目前Apache2.4和Nginx1.6以上的系统均支持该项配置。

第一步：修改服务器的hosts文件，解析正确的ocsp.int-x3.letsencrypt.org域名IP

修改服务器的hosts文件，把Let's Encrypt的OCSP服务器进行正确的解析。目前 ocsp.int-x3.letsencrypt.org 正常的服务器IP有：

23.44.51.8 （美国） 23.44.51.27 （美国） 104.109.129.57 (英国)   104.109.129.11 (英国)

175.45.42.209 （香港） 175.45.42.218 （香港）

可以在hosts文件中加入：

23.44.51.8   ocsp.int-x3.letsencrypt.org

保存即可！

hosts文件路径:

Windows(以管理员身份运行记事本，然后打开)： c:\windows\system32\drivers\etc\hosts

Linux/Unix/Mac Server(必须先切换到超管):  /etc/hosts

第二步：在Apache和Nginx中启用OCSP订书机功能

apache，修改全局SSL配置（注意部分服务器要求这两项配置的路径在同一目录）:

SSLSessionCache        "shmcb:conf/ssl_scache(512000)"

SSLStaplingCache "shmcb:conf/ssl_stapling(512000)"

SSLUseStapling On

nginx，修改SSL配置：

ssl_stapling on;
ssl_stapling_verify on;

第三步：重启apache或nginx即可！