首页 > 文体 > 问题 > 全站HTTPS来了!有何优势、与HTTP有何不同?

全站HTTPS来了!有何优势、与HTTP有何不同?

来源:整理 时间:2022-08-12 12:25:05 编辑:派代电商 手机版

3.client_hello

根据 version 信息能够知道客户端支持的最高的协议版本号,如果是 SSL 3.0 或 TLS 1.0 等低版本协议,非常注意可能因为版本低引起一些握手失败的情况;

根据 extension 字段中的 server_name 字段判断是否支持SNI,存在则支持,否则不支持,对于定位握手失败或证书返回错误非常有用;

会话标识 session ID 是标准协议部分,如果没有建立过连接则对应值为空,不为空则说明之前建立过对应的连接并缓存;

会话记录 session ticke t是扩展协议部分,存在该字段说明协议支持 sesssion ticket,否则不支持,存在且值为空,说明之前未建立并缓存连接,存在且值不为空,说明有缓存连接。

4.server_hello

根据 TLS version 字段能够推测出服务器支持的协议的最高版本,版本不同可能造成握手失败;

基于 cipher_suite 信息判断出服务器优先支持的加密协议;

5.ceritficate

服务器配置并返回的证书链,根据证书信息并于服务器配置文件对比,判断请求与期望是否一致,如果不一致,是否返回的默认证书。

6.alert

告警信息 alert 会说明建立连接失败的原因即告警类型,对于定位问题非常重要。

5.HTTPS 性能与优化

5.1 HTTPS 性能损耗

前文讨论了 HTTPS 原理与优势:身份验证、信息加密与完整性校验等,且未对 TCP 和 HTTP 协议做任何修改。但通过增加新协议以实现更安全的通信必然需要付出代价,HTTPS 协议的性能损耗主要体现如下:

1.增加延时

分析前面的握手过程,一次完整的握手至少需要两端依次来回两次通信,至少增加延时2* RTT,利用会话缓存从而复用连接,延时也至少1* RTT*。

2.消耗较多的 CPU 资源

除数据传输之外,HTTPS 通信主要包括对对称加解密、非对称加解密(服务器主要采用私钥解密数据);压测 TS8 机型的单核 CPU:对称加密算法AES-CBC-256 吞吐量 600Mbps,非对称 RSA 私钥解密200次/s。不考虑其它软件层面的开销,10G 网卡为对称加密需要消耗 CPU 约17核,24核CPU最多接入 HTTPS 连接 4800;

静态节点当前10G 网卡的 TS8 机型的 HTTP 单机接入能力约为10w/s,如果将所有的 HTTP 连接变为HTTPS连接,则明显 RSA 的解密最先成为瓶颈。因此,RSA 的解密能力是当前困扰 HTTPS 接入的主要难题。

5.2 HTTPS 接入优化

1.CDN 接入

HTTPS 增加的延时主要是传输延时 RTT,RTT 的特点是节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入的入口,将能够极大减少接入延时。CDN 节点通过和业务服务器维持长连接、会话复用和链路质量优化等可控方法,极大减少 HTTPS 带来的延时。

2.会话缓存

虽然前文提到 HTTPS 即使采用会话缓存也要至少1*RTT的延时,但是至少延时已经减少为原来的一半,明显的延时优化;同时,基于会话缓存建立的 HTTPS 连接不需要服务器使用RSA私钥解密获取 Pre-master 信息,可以省去CPU 的消耗。如果业务访问连接集中,缓存命中率高,则HTTPS的接入能力讲明显提升。当前 TRP 平台的缓存命中率高峰时期大于30%,10k/s的接入资源实际可以承载13k/的接入,收效非常可观。

3.硬件加速

为接入服务器安装专用的 SSL 硬件加速卡,作用类似 GPU,释放 CPU,能够具有更高的 HTTPS 接入能力且不影响业务程序的。测试某硬件加速卡单卡可以提供 35k 的解密能力,相当于175核 CPU,至少相当于7台24核的服务器,考虑到接入服务器其它程序的开销,一张硬件卡可以实现接近10台服务器的接入能力。

4.远程解密

本地接入消耗过多的 CPU 资源,浪费了网卡和硬盘等资源,考虑将最消耗 CPU 资源的RSA解密计算任务转移到其它服务器,如此则可以充分发挥服务器的接入能力,充分利用带宽与网卡资源。远程解密服务器可以选择 CPU 负载较低的机器充当,实现机器资源复用,也可以是专门优化的高计算性能的服务器。当前也是 CDN 用于大规模HTTPS接入的解决方案之一。

5.SPDY/HTTP2

前面的方法分别从减少传输延时和单机负载的方法提高 HTTPS 接入性能,但是方法都基于不改变 HTTP 协议的基础上提出的优化方法,SPDY/HTTP2 利用 TLS/SSL 带来的优势,通过修改协议的方法来提升 HTTPS 的性能,提高下载速度等。

作者:腾讯bugly

来源:卢松松博客,欢迎分享,(QQ/微信:13340454)


文章TAG:PSTP支持

最近更新

  • 乌鲁木齐市的海洋馆在哪里,乌鲁木齐水族馆乌鲁木齐市的海洋馆在哪里,乌鲁木齐水族馆

    乌鲁木齐水族馆2,乌鲁木齐迎宾路海洋馆现在还在吗3,乌鲁木齐有哪几个海洋馆门票多少坐几路车能到4,乌鲁木齐最大的水族馆在哪里票价多少5,请问从乌鲁木齐卡子湾做几路公交可以到海洋馆6,乌.....

    问题 日期:2024-03-28

  • 拼多多开店费用明细怎么看,在拼多多上开店要交什么费用拼多多开店费用明细怎么看,在拼多多上开店要交什么费用

    在拼多多上开店要交什么费用2,在拼多多里面怎么开个店需要多少钱3,拼多多开店要收多少钱多多情报通4,拼多多开店需要交多少钱保证金金5,拼多多开店流程及费用多少6,手机拼多多金额怎么看7,怎.....

    问题 日期:2024-03-28

  • 怎样做网上代理卖东西赚钱,怎样利用网络代理来赚钱怎样做网上代理卖东西赚钱,怎样利用网络代理来赚钱

    本文目录一览1,怎样利用网络代理来赚钱2,在网上做代理卖东西的详细步骤3,在网上开店怎么做代理4,网上代理应该怎么做5,怎么做网络销售代理6,在网上做代理那在哪获得利润呢1,怎样利用网络代理.....

    问题 日期:2024-03-28

  • 微信公众号互粉群二维码最新,微信求互粉微信号xinyuevip002微信公众号互粉群二维码最新,微信求互粉微信号xinyuevip002

    本文目录一览1,微信求互粉微信号xinyuevip0022,微信互赞群二维码扫描即刻加入3,微信公众号互粉二维码老是加载失败怎么办4,微信公众平台二维码在哪5,刚刚开通微信公众平台怎么样才能达到500.....

    问题 日期:2024-03-27

  • 如何上公众号,微信公众号怎么进入如何上公众号,微信公众号怎么进入

    微信公众号怎么进入到公众平台的网站上,使用你公众号帐户和密码登录电脑搜索微信公众平台,登录注册选择登录,输入密码然后管理员扫码验证,即可登录。2,怎么进入公众号您好。首先我想知道。.....

    问题 日期:2024-03-27

  • 商家如何购买运费险多少钱,卖家如果交运费险 应该怎么交 交多少钱商家如何购买运费险多少钱,卖家如果交运费险 应该怎么交 交多少钱

    卖家如果交运费险应该怎么交交多少钱卖家中心那里,有个商家保障,就是交保证金的那个地方,就可以看到很多保障服务,那里就能看到运费险了。开通运费险以后,每一单交易,就会自动扣除费用来充当.....

    问题 日期:2024-03-27

  • 义乌小商品百货批发,义乌小商品批发市场具体位置在哪里义乌小商品百货批发,义乌小商品批发市场具体位置在哪里

    义乌小商品批发市场具体位置在哪里浙江义乌小商品批发市场在浙江省义乌市,分为国际商贸城1-5区,和篁园服装市场。国际商贸城在南从商城大道,北至诚信大道,西起稠州北路,东至商博路。分为5个.....

    问题 日期:2024-03-27

  • 淘宝网的官网电话,淘宝网电话是多少淘宝网的官网电话,淘宝网电话是多少

    淘宝网电话是多少2,淘宝网官方电话号码是什么3,淘宝网官方网客服电话是什么4,淘宝网的公司官方电话是什么5,淘宝网官方客服热线是什么6,淘宝网官方电话是多少7,淘宝网客服电话是多少1,淘宝网.....

    问题 日期:2024-03-27

相关文章

文体排行榜推荐