2. 程式人生 > >【百度】大型網站的HTTPS實踐(三)——HTTPS對效能的影響

【百度】大型網站的HTTPS實踐(三)——HTTPS對效能的影響

阿新 發佈:2018-11-16

HTTPS在保護使用者隱私,防止流量劫持方面發揮著非常關鍵的作用,但與此同時,HTTPS也會降低使用者訪問速度增加網站伺服器的計算資源消耗。本文主要介紹HTTPS對效能的影響。

HTTPS對訪問速度的影響

在介紹速度優化策略之前,先來看下HTTPS對速度有什麼影響。影響主要來自兩方面:協議互動所增加的網路RTT(round trip time)和加解密相關的計算耗時。下面分別介紹一下。

1網路耗時增加

由於HTTP和HTTPS都需要DNS解析,並且大部分情況下使用了DNS快取,為了突出對比效果,忽略主域名的DNS解析時間。

使用者使用HTTP協議訪問http://www.baidu.com(或者www.baidu.com)時會有如下網路上的互動耗時:

圖1  HTTP首個請求的網路耗時

可見,使用者只需要完成TCP三次握手建立TCP連線就能夠直接傳送HTTP請求獲取應用層資料,此外在整個訪問過程中也沒有需要消耗計算資源的地方。

接下來看HTTPS的訪問過程,相比HTTP要複雜很多,在部分場景下,使用HTTPS訪問有可能增加7個RTT。如下圖:

圖2  HTTPS首次請求對訪問速度的影響

HTTPS首次請求需要的網路耗時解釋如下:

  1. 三次握手建立TCP連線。耗時一個RTT。

  2. 使用HTTP發起GET請求,服務端返回302跳轉到https://www.baidu.com。需要一個RTT以及302跳轉延時。

    1. 大部分情況下使用者不會手動輸入https://www.baidu.com來訪問HTTPS,服務端只能返回302強制瀏覽器跳轉到HTTPS。

    2. 瀏覽器處理302跳轉也需要耗時。

  3. 三次握手重新建立TCP連線。耗時一個RTT。

    1. 302跳轉到HTTPS伺服器之後,由於埠和伺服器不同,需要重新完成三次握手,建立TCP連線。

  4. TLS完全握手階段一。耗時至少一個RTT。

    1. 這個階段主要是完成加密套件的協商和證書的身份認證。

    2. 服務端和瀏覽器會協商出相同的金鑰交換演算法、對稱加密演算法、內容一致性校驗演算法、證書籤名演算法、橢圓曲線(非ECC演算法不需要)等。

    3. 瀏覽器獲取到證書後需要校驗證書的有效性,比如是否過期,是否撤銷。

  5. 解析CA站點的DNS。耗時一個RTT。

    1. 瀏覽器獲取到證書後,有可能需要發起OCSP或者CRL請求,查詢證書狀態。

    2. 瀏覽器首先獲取證書裡的CA域名。

    3. 如果沒有命中快取,瀏覽器需要解析CA域名的DNS。

  6. 三次握手建立CA站點的TCP連線。耗時一個RTT。

    1. DNS解析到IP後,需要完成三次握手建立TCP連線。

  7. 發起OCSP請求,獲取響應。耗時一個RTT。

  8. 完全握手階段二,耗時一個RTT及計算時間。

    1. 完全握手階段二主要是金鑰協商。

  9. 完全握手結束後,瀏覽器和伺服器之間進行應用層(也就是HTTP)資料傳輸。

當然不是每個請求都需要增加7個RTT才能完成HTTPS首次請求互動。大概只有不到0.01%的請求才有可能需要經歷上述步驟,它們需要滿足如下條件:

  1. 必須是首次請求。即建立TCP連線後發起的第一個請求,該連線上的後續請求都不需要再發生上述行為。

  2. 必須要發生完全握手,而正常情況下80%的請求能實現簡化握手。

  3. 瀏覽器需要開啟OCSP或者CRL功能。Chrome預設關閉了OCSP功能,Firefox和IE都預設開啟。

  4. 瀏覽器沒有命中OCSP快取。OCSP一般的更新週期是7天,Firefox的查詢週期也是7天,也就說是7天中才會發生一次OCSP的查詢。

  5. 瀏覽器沒有命中CA站點的DNS快取。只有沒命中DNS快取的情況下才會解析CA的DNS。

2計算耗時增加

上節還只是簡單描述了HTTPS關鍵路徑上必須消耗的純網路耗時,沒有包括非常消耗CPU資源的計算耗時,事實上計算耗時也不小(30ms以上),從瀏覽器和伺服器的角度分別介紹一下:

  1. 瀏覽器計算耗時

    1. RSA證書籤名校驗,瀏覽器需要解密簽名,計算證書雜湊值。如果有多個證書鏈,瀏覽器需要校驗多個證書。

    2. RSA金鑰交換時,需要使用證書公鑰加密premaster。耗時比較小,但如果手機效能比較差,可能也需要1ms的時間。

    3. ECC金鑰交換時,需要計算橢圓曲線的公私鑰。

    4. ECC金鑰交換時,需要使用證書公鑰解密獲取服務端發過來的ECC公鑰。

    5. ECC金鑰交換時,需要根據服務端公鑰計算master key

    6. 應用層資料對稱加解密。

    7. 應用層資料一致性校驗。

  2. 服務端計算耗時

    1. RSA金鑰交換時需要使用證書私鑰解密premaster。這個過程非常消耗效能。

    2. ECC金鑰交換時,需要計算橢圓曲線的公私鑰。

    3. ECC金鑰交換時,需要使用證書私鑰加密ECC的公鑰。

    4. ECC金鑰交換時,需要根據瀏覽器公鑰計算共享的master key。

    5. 應用層資料對稱加解密。

    6. 應用層資料一致性校驗。

由於客戶端的CPU和作業系統種類比較多,所以計算耗時不能一概而論。手機端的HTTPS計算會比較消耗效能,單純計算增加的延遲至少在50ms以上。PC端也會增加至少10ms以上的計算延遲。

伺服器的效能一般比較強,但由於RSA證書私鑰長度遠大於客戶端,所以服務端的計算延遲也會在5ms以上。總  結

HTTPS在保證資料安全性的同時,對服務效能也造成了一些影響。在本文中,我們著重介紹了HTTPS從網路耗時和加密解密兩方面對於服務效能的影響。在下一篇系列文章中,我們將為大家帶來百度在減小HTTPS對效能影響方面的方法和經驗。

文章整理自百度HTTPS技術聯合團隊

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31557835/viewspace-2219412/,如需轉載,請註明出處,否則將追究法律責任。

相關推薦

大型網站HTTPS實踐——HTTPS協議和原理

大型網站的HTTPS實踐(一)——HTTPS協議和原理 原創 網路通訊/物聯網 作者:AIOps智慧運維 時間:2018-11-09 15:07:39  349  0   前言

大型網站HTTPS實踐——HTTPS加密演算法介紹

大型網站的HTTPS實踐(二)——HTTPS加密演算法介紹 原創 網路通訊/物聯網 作者:AIOps智慧運維 時間:2018-11-09 15:09:43  358  0   前言

大型網站HTTPS實踐——HTTPS效能影響

HTTPS在保護使用者隱私,防止流量劫持方面發揮著非常關鍵的作用,但與此同時,HTTPS也會降低使用者訪問速度,增加網站伺服器的計算資源消耗。本文主要介紹HTTPS對效能的影響。 HTTPS對訪問速度的影響 在介紹速度優化策略之前,先來看下HTTPS對速度有什麼影響。影響主要來自兩方面:協議互動所增加的網

大型網站HTTPS實踐---HTTPS協議和原理

1前言 百度已經於近日上線了全站HTTPS的安全搜尋,預設會將HTTP請求跳轉成HTTPS。本文重點介紹HTTPS協議,並簡單介紹部署全站HTTPS的意義。 本文轉載自百度運維部官方部落格 2 HTTPS協議概述 HTTPS可以認為是HTTP

selenium3+JAVA介面自動化測試教程——瀏覽器的全屏、最大化和設定大小位置

1、瀏覽器全屏 使用程式碼如下: ChromeDriver chrome = new ChromeDriver(); chrome.manage().window().fullscreen(); 如上程式碼會把瀏覽器全屏,效果嘛就是除了網站的內容部分,其他全部

零基礎Python3學習課後練習題

    本文是跟著魚C論壇小甲魚零基礎學習Python3的視訊學習的,課後題也是跟隨每一課所附屬的題目來做的,根據自己的理解和標準答案記錄的筆記。 第三課 測試題: 0.以下哪個變數的命名不正

資料結構棧的儲存結構鏈棧

鏈棧 鏈棧因為不是陣列儲存,所以需要有指向下一個結點的指標 。 鏈棧如果使用頭插法是不需要棧頂指標,即棧頂指標就是頭指標。操作和頭插法連結串列一樣。 鏈棧若用尾插法略麻煩。 程式碼收穫 主要了解鏈棧的資料結構。 鏈棧的結構體中儲存連結下一個結構體的指標,而

工具類Excel匯出那些事兒

      匯出Excel又有了新的需求,之前都是直接匯出list<T>,現需要匯出List<map>,並且需要動態建立表頭。如下: 【工具類】 引用jxl包   public class ListMapExpo

Android 地圖 SDK v3.0.0 新增覆蓋物Marker與InfoWindow的使用

上篇部落格已經實現了地圖的定位以及結合了方向感測器使用者路痴定位方向,如果你還不清楚,請檢視:Android 百度地圖 SDK v3.0.0 (二) 定位與結合方向感測器,本章會教大家如何新增覆蓋物,實現周邊搜尋,以及對覆蓋物的點擊出現介紹等效果。效果圖:我們的需求是,當用戶

前端html5/css3前端學習之路CSS3 2D變形/CSS3 3D變形/CSS3瀏覽器字首

一、2D變形(CSS3) transform transform是CSS3中具有顛覆性的特徵之一,可以實現元素的位移、旋轉、傾斜、縮放,甚至支援矩陣方式,配合過渡和即將學習的動畫知識,可以取代大量之前只能靠Flash才可以實現的效果。 1.移動【  translate(x

深度學習Inception的前世今生--Inception V3

論文題目:《Rethinking the Inception Architecture for Computer Vision》 論文連結:https://arxiv.org/abs/1512.00567 自從2014年GoogLeNet在ImageNet上

大型網站HTTPS 實踐1HTTPS 協議和原理

1 前言 百度已經於近日上線了全站 HTTPS 的安全搜尋,預設會將 HTTP 請求跳轉成 HTTPS。本文重點介紹 HTTPS 協議, 並簡單介紹部署全站 HTTPS 的意義。 2 HTTPS 協議概述 HTTPS 可以認為是 HTTP + TLS。HTTP 協議

怎麼使用cookie登陸賬號

很多瀏覽器位址列有搜尋功能,可能無法使用 進入百度貼吧介面,按F12,撥出下方介面,選擇Console選項,然後再下面貼上登入程式碼,然後回車,再重新整理介面,就登入成功了! javascript:

MATLAB 向量化程式設計實踐

MATLAB的特色就是向量化的程式設計,所以有必要練習如何使用向量化程式設計,用一個小例子開始,例如下面的正弦函式求和運算,要求畫出影象。 毋庸置疑,我們肯定可以使用迴圈等和其他語言一樣的方法實現

MVC.NET實踐資料庫的資料進行刪除與修改

在主介面新增修改和刪除的超連結(Index.cshtml) <table id="tbList"> <tr> <th>id&l

從上幅架構圖中學得半點大型網站建設經驗

                 從上百幅架構圖中學大型網站建設經驗(上)引言    近段時間以來,通過接觸有關海量資料處理和搜尋引擎的諸多技術,常常見識到不少精妙絕倫的架構圖。除了每每感嘆於每幅圖表面上的繪製的精細之外,更為架構圖背後所隱藏的設計思想所歎服。個人這兩天一直在蒐集各大型網站的架構設計圖,一為了

COM元件開發實踐

//  CardScan.cpp : CCardScanApp 和DLL 註冊的實現。 #include  " stdafx.h " #include  " CardScan.h " #include  " comcat.h " #include  " strsafe.h " #include 

數據庫MySQL數據庫

沒有 特殊 進行 主鍵索引 rst ble 刪除 索引 可能 一、MySQL當中的索引: 數組當中我們見過索引;它的好處就是能夠快速的通過下標、索引將一個信息查到;或者說 能夠快速的定位到一個信息; 1.MySQL中的索引是什麽? 它是將我們表中具有索引的那個字段,

Prince2科普Prince2的七大原則1

步驟 哪些 來看 產品 論證 img .com 驗證 mil 經過前幾講中關於PRINCE2六大要素,四大步驟及整體思維架構的學習,相信各位看官已經對於PRINCE2有了大概的了解,那我們今天的學習內容會正式進入到七大原則內容的分享。 我們先來看一下,PRINCE

SSH進階之路Hibernate基本映射

tor res 主動 tran clas oid 支持包 lose 包括 【SSH進階之路】Hibernate基本原理(一) ,小編介紹了Hibernate的基本原理以及它的核心。採用對象化的思維操作關系型數據庫。 【SSH進階之路】Hibernate搭建開發環境+簡單