大型互联网站点HTTPS实践：基于协议和配置的优化VIP免费

下载后可任意编辑大型互联网站点 HTTPS 实践(三)：基于协议和配置的优化 1 前言 在前面的文章中讲到 HTTPS 对用户访问速度的影响。本文就为大家介绍 HTTPS 在访问速度，计算性能，安全等方面基于协议和配置的优化。 2 HTTPS 访问速度优化 2.1 Tcp fast open HTTPS 和 HTTP 使用 TCP 协议进行传输，也就意味着必须通过三次握手建立 TCP 连接，但一个 RTT 的时间内只传输一个 syn 包是不是太浪费?能不能在 syn 包发出的同时捎上应用层的数据?其实是可以的，这也是 tcp fast open 的思路，简称 TFO。具体原理可以参考 rfc7413。 遗憾的是 TFO 需要高版本内核的支持，linux 从 3.7 以后支持 TFO，但是目前的 windows 系统还不支持 TFO，所以只能在公司内部服务器之间发挥作用。 2.2 HSTS 前面提到过将用户 HTTP 请求 302 跳转到 HTTPS，这会有两个影响： 1、不安全，302 跳转不仅暴露了用户的访问站点，也很容易被中间者支持。 2、降低访问速度，302 跳转不仅需要一个 RTT，浏览器执行跳转也需要执行时间。 由于 302 跳转事实上是由浏览器触发的，服务器无法完全控制，这个需求导致了 HSTS 的诞生： HSTS(HTTP Strict Transport Security)。服务端返回一个 HSTS 的 http header，浏览器猎取到 HSTS 头部之后，在一段时间内，不管用户输入 www.baidu.com 还是http://www.baidu.com，都会默认将请求内部跳转成 https://www.baidu.com。 Chrome, firefox, ie 都支持了 HSTS。 2.3 Session resume Session resume 顾名思义就是复用 session，实现简化握手。复用 session 的好处有两个： 1、减少了 CPU 消耗，因为不需要进行非对称密钥交换的计算。 2、提升访问速度，不需要进行完全握手阶段二，节约了一个 RTT 和计算耗时。下载后可任意编辑 TLS 协议目前提供两种机制实现 session resume，分别介绍一下。 2.3.1 Session cache Session cache 的原理是使用 client hello 中的 session id 查询服务端的 session cache, 假如服务端有对应的缓存，则直接使用已有的 session 信息提前完成握手，称为简化握手。 Session cache 有两个缺点： 1、需要消耗服务端内存来存储 session 内容。 2、目前的开源软件包括 nginx,apache 只支持单机多进程间共享缓存，不支持多机间分布式缓存，对于百度或者其他大型互联网公司而言，单机 ...