HTTPS相关优化手段

最新推荐文章于 2023-04-07 12:05:58 发布
最新推荐文章于 2023-04-07 12:05:58 发布
阅读量459 收藏 2
点赞数
分类专栏: HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laing92/article/details/103791478
版权

HTTPS连接大致上可以划分为两个部分,第一个是建立连接时的非对称加密握手,第二个是握手后的对称加密报文传输
HTTPS比HTTP增加了一个TLS握手的步骤,这个步骤最长可以花费两个消息往返,也就是2-RTT。而且在握手消息的网络延时消耗外,还会有其他的一些“隐形”消耗,比如:

  • 产生用于密钥交换的临时公私钥对(ECDHE);
  • 验证证书时访问CA获取CRL或者OCSP;
  • 非对称加密解密处理“Pre-Master”。

如下图标识出来部分影响性能的部分:

硬件优化

HTTPS连接是计算密集型,而不是I/O密集型。所以,如果你花大价钱去买网卡、带宽、SSD存储就是“南辕北辙”了,起不到优化的效果。

  1. 选择更快的CPU,最好还内建AES优化,这样即可以加速握手,也可以加速传输
  2. 可以选择“SSL加速卡”,加解密时调用它的API,让专门的硬件来做非对称加解密,分担CPU的计算压力。
  3. SSL加速服务器:用专门的服务器集群来彻底“卸载”TLS握手时的加密解密计算,性能自然要比单纯的“加速卡”要强大的多。

软件优化

一个是软件升级,一个是协议优化。

  • 软件升级: 比如把Linux内核由2.x升级到4.x,把Nginx由1.6升级到1.16,把OpenSSL由1.0.1升级到1.1.0/1.1.1。

协议优化

  1. 如果有可能,应当尽量采用TLS1.3,它大幅度简化了握手的过程,完全握手只要1-RTT,而且更加安全。
  2. 椭圆曲线也要选择高性能的曲线,最好是x25519,次优选择是P-256。对称加密算法方面,也可以选用“AES_128_GCM”,它能比“AES_256_GCM”略快一点点。
  3. 在Nginx里可以用“ssl_ciphers”“ssl_ecdh_curve”等指令配置服务器使用的密码套件和椭圆曲线,把优先使用的放在前面,例如:
ssl_ciphers   TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:EECDH+CHACHA20;
ssl_ecdh_curve              X25519:P-256;

证书优化

除了密钥交换,握手过程中的证书验证也是一个比较耗时的操作,服务器需要把自己的证书链全发给客户端,然后客户端接收后再逐一验证。
这里就有两个优化点,一个是证书传输,一个是证书验证
使用OCSP(在线证书状态协议): 向CA发送查询请求,让CA返回证书的有效状态。
但是OCSP需要多发出一次网络请求的消耗,还要依赖于CA服务器,如果CA服务器很忙,那响应也是等不起的。
OCSP Stapling(OCSP装订): 可以让服务器预先访问CA获取OCSP响应,然后在握手时随着证书一起发送给客户端,免去了客户端连接CA服务器查询的时间。

会话复用

在HTTPS建立连接的过程中。显示三次TCP握手,然后是TLS一次握手,这后一次握手的重点是算出主密钥“Master Secret”。而主密钥每次连接都要重新计算,未免有点太浪费了,如果能够把“辛辛苦苦”算出来的主密钥缓存一下“重用”,不就可以免去握手和计算的成本了。
会话复用分为两种:第一种“Session ID”: 就是客户端和服务器首次连接后各自保存一个会话的ID号,内存里存储主密钥和其他相关的信息。当客户端再次连接时发一个ID过来,服务器就在内存里找,找到就直接用主密钥恢复会话状态,跳过证书验证和密钥交换,只用一个消息往返就可以建立安全通信。
如下图所示,在会话复用中,服务器在“ServerHello”消息后直接发送了“Change Cipher Spec”和“Finished”消息,复用会话完成了握手。

会话票证

“Session ID”是最早出现的会话复用技术,也是应用最广的,但它也有缺点,服务器必须保存每一个客户端的会话数据,对于拥有百万、千万级别用户的网站来说存储量就成了大问题,加重了服务器的负担。
于是出现,第二种“Session Ticket”方案。
它有点类似HTTP的Cookie,存储的责任由服务器转移到了客户端,服务器加密会话信息,用“New Session Ticket”消息发给客户端,让客户端保存。
不过“Session Ticket”方案需要使用一个固定的密钥文件(ticket_key)来加密Ticket,为了防止密钥被破解,保证“前向安全”,密钥文件需要定期轮换,比如设置为一小时或者一天。

预共享密钥

“False Start”“Session ID”“Session Ticket”等方式只能实现1-RTT,而TLS1.3更进一步实现了“0-RTT”,原理和“Session Ticket”差不多,但在发送Ticket的同时会带上应用数据(Early Data),免去了1.2里的服务器确认步骤,这种方式叫“Pre-shared Key”,简称为“PSK”。

但“PSK”也不是完美的,它为了追求效率而牺牲了一点安全性,容易受到“重放攻击”(Replay attack)的威胁。黑客可以截获“PSK”的数据,像复读机那样反复向服务器发送。

解决的办法是只允许安全的GET/HEAD方法,在消息里加入时间戳、“nonce”验证,或者“一次性票证”限制重放。

参考资料

以上内容参考极客时间《透视HTTP协议》课程

梦之痕bhl
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字节二面:优化 HTTPS手段,你知道几个?
磊哥聊Java
01-29 309
由裸数据传输的 HTTP 协议转成加密数据传输的 HTTPS 协议,给应用数据套了个「保护伞」,提高安全性的同时也带来了性能消耗。因为 HTTPS 相比 HTTP 协议多一个 TLS 协...
HTTPS 性能优化技巧
weixin_34195364的博客
09-24 717
2019独角兽企业重金招聘Python工程师标准>>> ...
HTTPS 访问速度优化方案
weixin_30511039的博客
09-11 1119
1、HTTPS 访问速度优化 1.1、Tcp fast open(简称TFO) HTTPS与HTTP都是通过TCP协议进行传输的,即需要通过三次握手建立通讯连接,TFO的思路就是在一个RTT的时间内将应用层的数据跟syn包同时发送出去,节省请求次数。遗憾的是,TFO需要高版本内核,Linux3.7以后支持TFO,目前Windows暂不支持TFO。 2.2、HTTP Strict...
HTTPS优化
qq_40276626的博客
09-22 906
HTTPS可以从以下几方面优化: 1、协议优化 TLS1.3 相较于 TLS1.2 从2个RTT缩短到了1个RTT,所以尽量使用TLS1.3 2、证书优化 证书优化主要有两方面: 1、证书传输 证书越小,传输的就越快。选择不同的加密方法,生成的证书的大小也不一样。所以我们尽量选择加密损失空间小的方法。 2、证书验证 证书验证有的时候不仅需要验证证书是否被篡改,还需要验证证书是否被吊销。 之前是由CA机构维护一个吊销证书列表CRL,客户端每次要下载CRL,然后验证证书是否被吊销。随着吊销证书的增多,CRL的大
HTTPS 性能优化
Sodaoo's Blog
07-03 393
详见我的有道云笔记 : 链接如下:http://note.youdao.com/noteshare?id=a655e13f802c64b0c12ed183d09cbdd7&sub=A7EB4741C497492486D6FE6C568EE900
机器人路径规划+避障+曲线优化matlab代码
03-19
在机器人技术领域,路径规划和避障是两个关键的研究方向,而曲线优化则是实现这两个功能的重要手段。MATLAB作为一种强大的数值计算和可视化工具,被广泛应用于机器人算法的开发与仿真。下面将详细介绍这三个核心概念...
windows http/https开发案例
03-12
- 对于高性能的HTTP/HTTPS服务,可能涉及到连接池管理、并发处理、缓存策略等优化手段。 总的来说,Windows下的HTTP/HTTPS开发涉及网络编程、安全协议、API调用等多个方面。上述文件提供了从基本的HTTP请求到更...
直通车优化
03-19
关于【直通车与淘客推广】,两者都是电商平台的营销手段,但各有特点。直通车强调的是站内精准营销,成本相对可控,而淘客推广虽然可能带来更大的流量,但需要支付佣金,且对商品销量有一定要求。因此,商家应结合...
HTTPS最佳实践》-lancelotluo.pdf
08-24
HTTPS最佳实践》是一本深入探讨HTTPS安全与性能优化的书籍,作者罗成在IT行业有着丰富的经验,曾在百度和腾讯从事相关工作,对网络安全和性能优化有独到见解。本书主要围绕HTTPS的安全性和速度优化展开,详细分析...
贝叶斯优化LSSVM
04-23
在压缩包文件“bayes”中,很可能包含实现贝叶斯优化LSSVM的代码示例或相关研究资料。这些文件可能包括Python脚本、算法实现、实验数据和结果分析等。通过学习和理解这些文件,你可以深入掌握如何将贝叶斯优化技术...
你知道HTTPS如何优化吗?
JT518721的博客
10-06 514
优化HTTPS一、性能损耗分析二、硬件优化三、软件优化三、协议优化密钥算法优化TLS升级四、证书优化证书传输优化证书验证优化CRL(证书吊销列表)OCSP(在线证书状态协议)OCSP Stapling五、会话复用SessionIDSession TicketSessionID和SessionTicket的缺点重放攻击 一、性能损耗分析 性能损耗主要从两方面着手 TLS协议握手过程 握手后的对称加密报文传输 针对握手后的对称加密报文传输,主流的AES、ChaCha20性能都是不错的,所以这个好解决。 那么
【计算机网络】HTTPS优化方案
flyersboy的博客
05-29 404
​ 因为 HTTPS 相⽐ HTTP 协议多⼀个 TLS 协议握⼿过程,⽬的是为了通过⾮对称加密握⼿协商或者交换出对称加密密钥,这个过程最⻓可以花费掉 2 RTT,接着后续传输的应⽤数据都得使⽤对称加密密钥来加密/解密。 ​ 为了数据的安全性,我们不得不使⽤ HTTPS 协议,⾄今⼤部分⽹址都已从 HTTP 迁移⾄ HTTPS 协议,因此针对HTTPS优化是⾮常重要的。 1、分析性能损耗 产⽣性能消耗的两个环节: 第⼀个环节, TLS 协议握⼿过程; 第⼆个环节,握⼿后的对称加密报⽂传输。(性能
HTTPSHTTPS如何优化
qq_36638788的博客
05-19 973
由裸数据传输的HTTP协议转成加密数据传输的HTTPS协议,给应用数据套了个保护伞,提高安全性的同时也带来了性能消耗。 因为HTTPS相比HTTP协议多一个TLS协议握手过程,目的是为了通过非对称加密握手协商或者交换出对称加密密钥,这个过程最长可以花费掉2RTT,接着后续传输的应用数据都得使用加密密钥来加密/解密。 为了数据的安全性,我们不得不使用HTTPS协议,至今大部分网址都已从HTTP迁移至HTTPS协议,因此针对HTTPS优化是非常重要的。 这次,就从多个角度来优化HTTPS。 分析性能损
OpenSSL Cipher配置安全增强
nuaa_llf的博客
06-05 3885
OpenSSL Cipher配置安全增强 1.攻击威胁 以下是OpenSSLSSL协议历史上遭遇过的知名攻击。 BEAST攻击 CRIME攻击 FREAK攻击 POODLE攻击 Heartbleed心脏滴血 2.配置语法 “+”代表取交集 “-”代表临时删除 “!”代表永久删除 “@”代表排序方法 ” :;,”都可用作分隔符 密码套件的顺序决定了Openssl在握手过...
postgresql.conf ssl_ecdh_curve
baidu_24377669的博客
06-05 241
详解gmssl和tls1.2握手流程分析及接口实现
qq_36472340的博客
04-07 3055
通过阅读openssl源码具体分析ssl握手中的报文交互流程,包括发送和处理每个报文所做的主要事情。同时分析ssl协议中的一些主要问题,包括tls和gmssl的区别、单向认证和双向认证、两种会话复用方式对比,调用openssl接口实现ssl客户端和服务端之间的通信。本篇文章梳理了tls1.2和gmssl的具体握手流程和算法实现,只进行了宏观层面的大致分析,openssl当中还有许多的细节需要在后续文章中继续分析。
HTTPS基础原理和配置-2
east4ming的博客
02-14 325
〇、概述 作为概述,以下是本文要讲的内容。HTTPS 是什么? 每个人都可能从浏览器上认出 HTTPS,并对它有好感。然后再讲一遍基础知识,再详细讲一下协议版本,密码套件(Cipher Suites),本文的重点会落在如何配置 NGINX,让你的网站使用 HTTPS 服务。 除此之外,还有一个使用 HTTPS 作为代理的问题; 所以,如果你的 NGINX 在另一个应用程序的前面,你如何设置NGINX 作为 HTTPS 客户端。 在这里,我会介绍一些方法,用以检查你的 HTTPS 配置,以看到它是最安全的和最
手把手教你Nginx常用模块详解之ngx_stream_ssl_module(七)
菜鸟路上的小白
08-14 3044
ssl_client_cert以建立的SSL连接的PEM格式返回客户端证书,每行除第一行加上制表符(1.11.8);$ssl_client_i_dn根据RFC 2253(1.11.8),为建立的SSL连接返回客户端证书的“颁发者DN”字符串;$ssl_client_raw_cert以建立的SSL连接(1.11.8)的PEM格式返回客户证书;$ssl_client_s_dn根据RFC 2253(1.11.8)返回已建立的SSL连接的客户端证书的“主题DN”字符串;启用客户端证书的验证。............
使用Let's-Encrypt配置SSL证书
风破
05-18 2052
1. 安装 Certbot Let’s Encrypt 证书生成不需要手动进行,官方推荐 certbot 这套自动化工具来实现。 Nginx on CentOS/RHEL 7 Certbot is packaged in EPEL (Extra Packages for Enterprise Linux). To use Certbot, you must first enable the...
在泛解析子域名识别中,对这子域名分别使用HTTP、HTTPS协议发起响应并获取响应包,是什么技术手段
最新发布
07-15
对泛解析子域名进行HTTP和HTTPS协议的响应获取是一种常见的技术手段,用于进一步验证泛解析的存在。这个过程包括以下步骤: 1. 构建URL:根据泛解析子域名,构建HTTP和HTTPS的URL。例如,对于子域名 `*.example....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值