詳解全站 HTTPS 訪問(wèn)優(yōu)化

HTTPS 協(xié)議就是 HTTP+SSL/TLS，即在 HTTP 基礎(chǔ)上加入 SSL /TLS 層，提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性3大功能，目的就是為了加密數(shù)據(jù)，用于安全的數(shù)據(jù)傳輸。

HTTPS 通過(guò)3大功能增加了數(shù)據(jù)傳輸安全，但同時(shí)也給Web性能優(yōu)化帶來(lái)了新的挑戰(zhàn)。

• HTTPS降低用戶訪問(wèn)速度（需多次握手）

• 網(wǎng)站改用 HTTPS 以后，由 HTTP 跳轉(zhuǎn)到 HTTPS 的方式增加了用戶訪問(wèn)耗時(shí)（多數(shù)網(wǎng)站采用 301、302 跳轉(zhuǎn)）

• HTTPS 涉及到的安全算法會(huì)消耗 CPU 資源，需要增加服務(wù)器資源（https 訪問(wèn)過(guò)程需要加解密）

HTTP跳轉(zhuǎn)至HTTPS交互過(guò)程解析

1. 用戶在瀏覽器里輸入 http://www.domain.com/1213.gif 點(diǎn)擊回車以后，瀏覽器與服務(wù)器發(fā)生三次握手；

2. 服務(wù)器收到用戶的請(qǐng)求，響應(yīng) 301 狀態(tài)碼，讓用戶跳轉(zhuǎn)到 HTTPS ，重新請(qǐng)求 https://www.domain.com/1213.gif；

3. 用戶重新發(fā)起 HTTPS 請(qǐng)求，再次與服務(wù)器進(jìn)行三次 TCP 握手；

4. TCP 握手成功后，瀏覽器開(kāi)始與服務(wù)器進(jìn)行 TLS 握手。HSTS重定向技術(shù)

又拍云采用了 HSTS（HTTP Strict Transport Security）技術(shù)，啟用HSTS后，將保證瀏覽器始終連接到網(wǎng)站的 HTTPS 加密版本。

1. 用戶在瀏覽器里輸入 HTTP 協(xié)議進(jìn)行訪問(wèn)時(shí)，瀏覽器會(huì)自動(dòng)將 HTTP 轉(zhuǎn)換為 HTTPS 進(jìn)行訪問(wèn)，確保用戶訪問(wèn)安全；

2. 省去301跳轉(zhuǎn)的出現(xiàn)，縮短訪問(wèn)時(shí)間；

3. 能阻止基于 SSL Strip 的中間人***，萬(wàn)一證書(shū)有錯(cuò)誤，則顯示錯(cuò)誤，用戶不能回避警告，從而能夠更加有效安全的保障用戶的訪問(wèn)。

TLS握手優(yōu)化

在傳輸應(yīng)用數(shù)據(jù)之前，客戶端必須與服務(wù)端協(xié)商密鑰、加密算法等信息，服務(wù)端還要把自己的證書(shū)發(fā)給客戶端表明其身份，這些環(huán)節(jié)構(gòu)成 TLS 握手過(guò)程。

TLS False Start 功能

又拍云采用了 False Start （搶先開(kāi)始）技術(shù)，瀏覽器在與服務(wù)器完成 TLS 握手前，就開(kāi)始發(fā)送請(qǐng)求數(shù)據(jù)，服務(wù)器在收到這些數(shù)據(jù)后，完成 TLS 握手的同時(shí)，開(kāi)始發(fā)送響應(yīng)數(shù)據(jù)。

開(kāi)啟 False Start 功能后，數(shù)據(jù)傳輸時(shí)間講進(jìn)一步縮短。

Session Identifier（會(huì)話標(biāo)識(shí)符）復(fù)用

如果用戶的一個(gè)業(yè)務(wù)請(qǐng)求包含了多條的加密流，客戶端與服務(wù)器將會(huì)反復(fù)握手，必定會(huì)導(dǎo)致更多的時(shí)間損耗?；蛘吣承┨厥馇闆r導(dǎo)致了對(duì)話突然中斷，雙方就需要重新握手，增加了用戶訪問(wèn)時(shí)間。

因此又拍云提供了 Session Identifier（會(huì)話標(biāo)識(shí)符）復(fù)用功能

（1）服務(wù)器為每一次的會(huì)話都生成并記錄一個(gè) ID 號(hào)，然后發(fā)送給客戶端；

（2）如果客戶端發(fā)起重新連接，則只要向服務(wù)器發(fā)送該 ID 號(hào)；

（3）服務(wù)器收到客戶端發(fā)來(lái)的 ID 號(hào)，然后查找自己的會(huì)話記錄，匹配 ID 之后，雙方就可以重新使用之前的對(duì)稱加密秘鑰進(jìn)行數(shù)據(jù)加密傳輸，而不必重新生成，減少交互時(shí)間。

因此又可以進(jìn)一步降低客戶端的訪問(wèn)時(shí)間，提升用戶的訪問(wèn)體驗(yàn)。又拍云已默認(rèn)開(kāi)啟此功能，無(wú)需特殊配置，抓包如下圖所示：

開(kāi)啟OSCP Stapling，提高TLS握手效率

采用OCSP Stapling ，提升 HTTPS 性能。服務(wù)端主動(dòng)獲取 OCSP 查詢結(jié)果并隨著證書(shū)一起發(fā)送給客戶端，從而客戶端可直接通過(guò) Web Server 驗(yàn)證證書(shū)，提高 TLS 握手效率。

由又拍云服務(wù)器模擬瀏覽器向 CA 發(fā)起請(qǐng)求，并將帶有 CA 機(jī)構(gòu)簽名的 OCSP 響應(yīng)保存到本地，然后在與客戶端握手階段，將 OCSP 響應(yīng)下發(fā)給瀏覽器，省去瀏覽器的在線驗(yàn)證過(guò)程。由于瀏覽器不需要直接向 CA 站點(diǎn)查詢證書(shū)狀態(tài)，這個(gè)功能對(duì)訪問(wèn)速度的提升非常明顯。

完全前向加密PFS，保護(hù)用戶數(shù)據(jù)，預(yù)防私鑰泄漏

非對(duì)稱加密算法 RSA，包含了公鑰、私鑰，其中私鑰是保密不對(duì)外公開(kāi)的，由于此算法既可以用于加密也可以用于簽名，所以用途甚廣，但是還是會(huì)遇到一些問(wèn)題：

（1） 假如我是一名***，雖然現(xiàn)在我不知道私鑰，但是我可以先把客戶端與服務(wù)器之前的傳輸數(shù)據(jù)（已加密）全部保存下來(lái)

（2）如果某一天，服務(wù)器維護(hù)人員不小心把私鑰泄露了，或者服務(wù)器被我攻破獲取到了私鑰

（3）那我就可以利用這個(gè)私鑰，破解掉之前已被我保存的數(shù)據(jù)，從中獲取有用的信息

所以為了防止上述現(xiàn)象發(fā)生，我們必須保護(hù)好自己的私鑰。

但如果私鑰確實(shí)被泄漏了，那我們改如何補(bǔ)救呢？那就需要PFS（perfect forward secrecy）完全前向保密功能，此功能用于客戶端與服務(wù)器交換對(duì)稱密鑰，起到前向保密的作用，也即就算私鑰被泄漏，***也無(wú)法破解先前已加密的數(shù)據(jù)。

實(shí)現(xiàn)此功能需要服務(wù)器支持以下算法和簽名組合：

（1）ECDHE 密鑰交換、RSA 簽名；

（2）ECDHE 密鑰交換、ECDSA 簽名；

又拍云已默認(rèn)支持上述組合，無(wú)需特殊配置，抓包如下圖所示：

HTTP/2協(xié)議支持

HTTP/2 是在 HTTPS 協(xié)議的基礎(chǔ)上實(shí)現(xiàn)的，所以只要使用又拍云 HTTPS 加速服務(wù)的域名，都可免費(fèi)享受 HTTP/2 服務(wù)，無(wú)需做任何特殊配置。全平臺(tái)支持默認(rèn)開(kāi)啟 HTTP/2.0 , 無(wú)縫兼容各瀏覽器及服務(wù)器。