罗剑锋透视HTTP协议学习笔记---28 | 连接太慢该怎么办:HTTPS的优化

最新推荐文章于 2023-04-02 09:55:13 发布
最新推荐文章于 2023-04-02 09:55:13 发布
阅读量348 收藏 4
点赞数
分类专栏: HTTP 笔记 文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45462681/article/details/116085959
版权
笔记 同时被 2 个专栏收录
46 篇文章 0 订阅
订阅专栏
HTTP
44 篇文章 6 订阅
订阅专栏

28 | 连接太慢该怎么办:HTTPS的优化

HTTPS太慢主要指的是连接慢,而不是使用慢。所以优化的重点集中在连接上。
TLS建立连接的过程中,除了交互消息,还有一些隐性的时间消耗,比如客户端需要验证服务端的证书。
TLS握手过程中,客户端验证服务端证书的真伪,有一种情况,证书是真的,但证书已经废弃,或者被加入了黑名单。所以,对于一些重要的网站【chrome的策略是EV证书,mark1无法验证,apple,招行】,除了验证证书真伪,还需要验证证书的有效状态。

有3种方式验证证书是否有效
其中CRL是指被废弃的证书列表,CRL需要客户端下载一个废弃证书列表,通常有几兆,代价很大,已淘汰。
OCSP在线证书状态协议(Online Certificate Status Protocol)指在线查询证书状态。 客户端在线连接到CA验证,有额外的RTT消耗。
OCSP Stapling,OCSP的改进,由服务端预先查询CA,在Server Hello消息中返回。

另外是证书传输和计算,建议选择椭圆曲线证书(ECDSA),因为224位ECC加密强度相当于2048位RSA,传输ECC证书节省带宽,验证证书的计算量也比较小。

产生用于密钥交换的临时公私钥对(ECDHE)
非对称加密解密处理“Pre-Master”
此二者没有软件或协议加速的手段,只能采用硬件加速,如采用更快的CPU,支持AES加密的CPU,SSL加速卡,SSL 加速服务器
软件优化
采用新版本,适当配置
协议优化
采用1.3,椭圆曲线选高性能曲线优选x25519,次选p-256

会话复用
解决TLS连接性能的主要手段,如果TLS会话能复用,则即使第一次连接时间较长,后继TLS会话可以复用第一次建立的TLS连接,则也可以接受。
复用有2种实现方式:
Session id:
会话共享Session ID【注:共享的是Server Hello的Session ID】.
建立连接时Client Hello,Server Hello各自携带Session ID,后继复用Server Hello的Session ID
后继Client Hello请求携带Session ID, 服务器查询,参数是四元组【DIP,DPORT, Session ID, master secret】,如果存在且一致,跳过秘钥交换计算,证书传递认证阶段,直接恢复会话。
消息结构
Client Hello
Server Hello, Change Cipher, Finished
Change Cipher, Finished
缺点是服务器需要保留所有会话记录,负担重。
在这里插入图片描述
Session ticket
会话共享Session ticket
新建TLS会话时,客户端,服务器携带空session ticket扩展字段,表示自己支持session ticket.
服务端回应Server Hello,携带new session ticket记录,记录了加密的包括主密钥在内的会话信息:注:加密秘钥需要经常更换,否则有安全性问题。
客户端以master key:session ticket的键值对形式存储下来。
后继会话,客户端发起Client Hello时携带session ticket, 服务端解密,恢复会话。
消息结构
New Session Ticket
Client Hello
Server Hello, Change Cipher, Finished
Change Cipher, Finished

在这里插入图片描述

tips:Session ID和Session ticket都是解决TLS session复用的解决方案,因此可以理解他们是互斥的功能。如何判断当前在使用哪个功能?client端永远会发Session ID,服务器端如果使用Session ID,则会发送Session ID,
如果服务端支持Session Ticket,则会发送New Session Ticket,此时服务器端Session ID应该是0字节。
注1:如果即发送Session id又发送Session Ticket,则Session ID优先生效。【www.apple.com】

0-RTT
TLS1.3可以利用psk实现0-RTT, Client Hello携带pre-shared key+ early data,直接Change Cipher spec,进入明文传输。

课后作业:

你能比较一下“Session ID”“Session Ticket”“PSK”这三种会话复用手段的异同吗?
Session ID, Session Ticket, PSK都是TLS连接协议优化手段。
不同的是Session ID, Session Ticket可以实现1-RTT,PSK可以实现0-RTT。
Session ID和Session Ticket的区别是,使用Session ID方式,压力在服务器端,服务器在内存里保存Session ID,收到Client Hello并检索Session ID,恢复会话
Session Ticket方式类似cookie,服务器发送new Session ticket,客户端保存,连接时客户端发送Session ticket,服务器解密恢复会话。

你觉得哪些优化手段是你在实际工作中能用到的?应该怎样去用?
NA

乘风破浪2021
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
连接太慢该怎么办:HTTPS优化
qq_38304320的博客
11-29 1587
文章目录硬件优化软件优化协议优化证书优化会话复用会话票证预共享密钥总结 你可能或多或少听别人说过,“HTTPS连接很慢”。那么“慢”的原因是什么呢? 通过前两讲的学习,你可以看到,HTTPS 连接大致上可以划分为两个部分,第一个是建立连接时的非对称加密握手,第二个是握手后的对称加密报文传输。 由于目前流行的 AES、ChaCha20 性能都很好,还有硬件优化,报文传输的性能损耗可以说是非常地小,小到几乎可以忽略不计了。所以,通常所说的“HTTPS 连接慢”指的就是刚开始建立连接的那段时间。 在 TCP
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4068
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
【推荐】朱剑锋-网易中台的博弈与演进
06-02
剑锋-网易中台的博弈与演进,30页
TLS/SSL 协议详解 (22)会话复用
叼哥的博客
11-19 6227
由于SSL握手的非对称运算无论是RSA还是ECDHE,都会消耗性能,故为了提高性能,对于之前已经进行过握手的SSL连接,尽可能减少握手round time trip以及运算。   SSL提供2中不同的会话复用机制。 1:session id会话复用   对于已经建立的SSL会话,使用session id为key(session id来自第一次请求的server hello中的session...
什么是TLS会话恢复( TLS Session Resumption )
lavin1614
01-14 817
计算机科学家Erik Sy,Hannes Federrath,Christian Burkert和Mathias Fischer在最近的一篇论文中,描述了一种涉及传输层安全(TLS)会话恢复的新型跟踪技术。 TLS协议是SSL协议的升级版本,是广泛熟悉的传输加密协议,用于为客户端和服务器之间传输的数据进行加密,保护web通信安全。TLS协议的最新版本是TLS 1.3版本。 ​ 在访问HTTPS网站时,建立TLS连接需要通过网络进行一些来回协商,因此也存在一种方法可以通过更快捷的方式,恢复以
TLS1.3握手流程以及参数详解
qq_35448165的博客
02-01 1743
TLS1.3概述 TLS1.3总共有两层,分别是握手协议(handshake protocol)和记录协议(record protocol),握手协议在记录协议的上层,记录协议是一个分层协议。其中握手协议中还包括了警告协议(alert protocol)。 TLS1.3概括如表格所示: 本文将详细阐述握手协议,并且抓包分析。 TLS1.3记录协议: 记录协议位于握手协议下层,发送方从高层接受任意长度的非空数据,对其进行合并或分块处理,然后利用带有辅助数据的认证加密AEAD(authenticated en
网站使用了HTTPS之后,速度会变慢,底层原理是什么?
长风破浪会有时的博客
04-02 1297
在这个过程中,客户端和服务器之间会进行多轮的通信,以协商加密算法和生成会话密钥。这些额外的通信往返时间(RTT)也会导致HTTPS连接的延迟增加。这些额外的计算需要占用CPU和内存资源,因此会对服务器和客户端的性能产生一定的影响。总之,HTTPS的加密和认证过程增加了通信开销,这可能会导致HTTPS连接的速度变慢。这个过程需要向第三方机构请求数字证书,这也会增加HTTPS连接的响应时间。在使用HTTPS之后,网站的速度确实可能会变慢,这是由于HTTPS引入了一些额外的计算和通信开销所致。
Https请求慢的解决办法
ITJingYing2050的博客
03-09 4900
1.不要使用DNS解析(域名转化为IP),直接访问IP; 2.解决heeps连接无法复用的问题: 基于TCP长连接,从移动端建立一条长连接到服务器。TCP是基于socket编程的,难度较大且复杂,需要自己定制协议。但是更新和消息推送会更加及时。而且访问量爆发时,可以减轻服务器的压力(避免频繁建立和关闭连接)。 3.解决第一个数据包阻塞,导致整个队列阻塞,使用 heep pipelining ...
由于手机中的时间不对,导致的https网络连接失败
茶卡y的专栏
03-12 6950
在维护别人的代码,发现,如果手机的时间是老的,不正确,https网络访问onFailure:javax.net.ssl.SSLHandshakeException: com.android.org.bouncycastle.jce.exception.ExtCertPathValidatorException: Could not validate certificate: current tim...
Https丢包分析及底层原理解析
nimazhao的博客
04-08 2365
一、背景 生产服务器为阿里云,应用系统出现请求第三方服务偶发性接口异常,数据查询不回来,查看日志,分析得出,请求接口超过最大连接时间30秒,正常1.2秒左右,能返回数据。经过确认,第三方https连接超时时间设置为10秒,分析认为,由于网络波动延时,导致接口请求超时,让第三方设置超时时间为30秒,重新发起请求,依然存在偶发性接口请求超时,导致数据获取异常。再次分析日志如下 第三方反馈: ![image.png](https://img-blog.csdnimg.cn/img_convert/5e23b4f0
HTTP/HTTPS请求 设置连接、读写超时时间
宁致
03-25 4595
问题描述: 今天,在做微服务开发中,A服务区调用B服务,获取数据做导出excel操作。A服务出现了“java.net.SocketTimeoutException: Read timed out ”错误。 ConnectTimeout 连接超时 指的是 建立连接超时,也就是 A服务连接不上B服务,也许是B服务挂掉了,会抛出"java.net.SocketException: connetct time out",也许是网络差到不能建立连接的地步。 ReadTimeout 读写超时 指的是..
C++学习笔记.pdf
08-12
C++学习笔记
janus-proxy:代理让 janusvr 连接到带有实时更新的 Scenevr 服务器
06-13
剑锋代理这是 janus 呈现服务器的一个分支,用于连接到一些硬编码的 Scenevr 场景并将它们作为 janus #sync 命令进行流式传输。 这使 janus 客户端能够连接到 scenevr 世界。 这是一个概念验证,并不能在 janusvr 和...
论文研究-TD-LTE系统上行性能评估与HPSS技术的研究 .pdf
08-21
TD-LTE系统上行性能评估与HPSS技术的研究,张珂,康剑锋,本文对TD-LTE上行系统,从接收天线类型,上下行时隙配置,小区规模,系统带宽,载波频率这些不同的维度进行了广泛而详细的评估。同
c++学习笔记(自己写的大约有30页)
05-18
C++学习笔记。C++是C语言的继承,它既可以进行C语言的过程化程序设计,又可以进行以抽象数据类型为特点的基于对象的程序设计,还可以进行以继承和多态为特点的面向对象的程序设计。C++擅长面向对象程序设计的同时,...
Python int()使用小结
热门推荐
James的博客
10-14 1万+
Python int()使用小结 int()的基本语法格式是int(x,[base=10]),其中base可以省略 int()的作用是把不同进制的数字或数字字符串转为十进制整数。使用中,其行为,参数有一些tricky,需要特别注意。 不带参数返回0,即int() int() 0 取整是简单截断,不是四舍五入,如int(1.5) = 1 int(1.5) 1 参数可以是整数,浮点数,或算术表达式如100/3,但不能是复数,如1+2j int(3) 3 int(3.5) 3
Python中的逻辑运算and和or
James的博客
10-14 2078
Python中的逻辑运算和其它语言不同,使用中需要注意 运算符优先级:关系运算>逻辑运算 结合性:从左到右 关系运算符之间优先级:(>,>=,<,<=)>(==,!=) 逻辑运算符之间的优先级: not>and>or and运算 对于and,如果and左边的表达式为True,则整个表达式的值为and右边的表达式,否则为左边的表达式的值 ((2>=2) or (2<2)) and 2 T and 2 2 3 and 0 and 5 0 and 5
Python大学排名问题
James的博客
09-27 1948
某次考试遇到一大学排名问题,当时没做出来,现试解如下。 有如下数据文件,包括一组大学排名,包括名次,学校名,所属国别,现要求按特定格式输出 输出格式要求 国别:该国入选高校数量:入选高校列表 如 美国: 2:加州理工,哈佛 英国: 2:牛津,剑桥 中国: 1:清华 # 1,加州理工,美国 # 2,哈佛,美国 # 3,牛津,英国 # 4,剑桥,英国 # 5,清华,中国 fi = open('data.txt', 'r', encoding='utf-8') d = {} for line i
java逻辑表达式的计算和优化
James的博客
10-20 1318
必要的基本知识储备: 运算符优先级 基本原则:算术>关系>逻辑 例外: 逻辑非! >算术 关系运算符细分为2组: ,>=,<,<= 优先级高于==,!= 逻辑运算符: !>&&>|| 假设输入是2,如何计算下面是一个逻辑表达式 if (n == 1 || n % 2 == 0 && n != 2) { 传统做法:快速扫描一下,看到有逻辑||和逻辑&&, 先考虑&&,&&的结
剑锋的c实战笔记 下载
最新发布
09-25
剑锋的C实战笔记》是一本关于C语言编程实战的笔记,它是那些想要深入学习C语言、提升编程实践能力的人们的必备工具书。该书由计算机专家剑锋编写,经过多年的经验积累和实践验证,内容全面且实用。 这本书的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值