可是,HTTPS的安全,是以犧牲性能為代價的,網宿對相同配置環境和硬件的服務器做同一資源的HTTP和HTTPS訪問,數據表明,HTTPS總體耗時是HTTP的2倍多。
HTTPS相較於HTTP增加了SSL握手的階段,SSL加解密的性能優劣,很大程度上決定了網站的訪問速度。
ECC證書——更快更安全的技術手段
在實施SSL加密過程中,主要會使用到非對稱密鑰交換和對稱內容加密兩大算法,非對稱密鑰交換算法主要有RSA、ECC等,對稱內容加密算法主要有DES、AES等;使用RSA算法的證書稱為RSA證書,使用ECC算法的證書稱為ECC證書。
當前數字證書普遍採用RSA加密算法,這種加密算法的密鑰長度必須是2048位以上,才能在一定程度上維持信息傳輸的安全性,這對互聯網設備的計算能力、內存和帶寬都是一大挑戰。
但從2014年開始,ECC 證書在國外被普遍開始使用,2015年國內開始接受ECC證書。ECC 和 RSA 相比,在許多方面都有絕對的優勢,主要體現在以下方面:
抗攻擊性強
CPU 佔用少
-
內容使用少
網絡消耗低
加密速度快
下圖是ECC證書與RSA證書的性能對比,可以看到,在高併發的場景下,ECC證書表現穩定,保持在一個比較低的狀態,而RSA證書的時延在併發達到一定閾值時會驟然上升。
提升HTTPS性能——合理地使用ECC證書
雖然ECC證書相較於RSA證書有多方面的優勢,但其短板在於瀏覽器的支持並不是很友好,以下是不同的操作系統及瀏覽器版本的ECC支持情況,可以看到ECC的兼容性較差,而RSA則幾乎是所有環境都能支持。
ECC證書的完全普及也許還需要一定時間,但用戶體驗的提升不能等。在ECC與RSA的漫長過渡時間裡,一個小小的優化,就能夠大大提升HTTPS網站的訪問性能。
小優化,大功效——網宿證書優選方案
針對同一域名,在網宿CDN節點上同時部署 RSA和ECC兩份證書文件。網宿CDN節點作為服務端,根據客戶端發送的Client Hello中的信息,判斷客戶端是否支持ECC證書;若支持則返回ECC證書,若不支持則返回RSA證書,並使用相對應的非對稱加解密算法完成剩餘的握手過程。
該方案可以在保障客戶端支持的情況下,提供了對 RSA/ECC 雙證書的支持。它的實現既能夠為大多數的瀏覽器提供更快、更安全的體驗;與之同時,也能夠保障老舊的瀏覽器可以獲取RSA證書,具有較好的兼容性。
測試結果顯示,客戶在部署網宿證書優選方案之後,雙證書時的SSL握手性能比只用RSA單證書的情況提升了30%。
如果你想要獲得最優的用戶體驗,那麼改善每一毫秒都是至關重要的。
證書優選方案,使HTTPS性能更上一個臺階,除此之外,網宿還通過HSTS協議優化、部署HTTPS加速專用硬件等手段,為客戶進一步優化HTTPS訪問性能。
閱讀更多 網宿CDN 的文章
