写点什么

大型网站的 HTTPS 实践(三)——HTTPS 对性能的影响

  • 2019-09-11
  • 本文字数:2082 字

    阅读完需:约 7 分钟

大型网站的HTTPS实践(三)——HTTPS对性能的影响

HTTPS 在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但与此同时,HTTPS 也会降低用户访问速度,增加网站服务器的计算资源消耗。本文主要介绍 HTTPS 对性能的影响。

HTTPS 对访问速度的影响

在介绍速度优化策略之前,先来看下 HTTPS 对速度有什么影响。影响主要来自两方面:协议交互所增加的网络 RTT(round trip time)和加解密相关的计算耗时。下面分别介绍一下。

1 网络耗时增加

由于 HTTP 和 HTTPS 都需要 DNS 解析,并且大部分情况下使用了 DNS 缓存,为了突出对比效果,忽略主域名的 DNS 解析时间。


用户使用 HTTP 协议访问 http:// www.baidu. com(或者 www.baidu. com)时会有如下网络上的交互耗时:



图 1 HTTP 首个请求的网络耗时


可见,用户只需要完成 TCP 三次握手建立 TCP 连接就能够直接发送 HTTP 请求获取应用层数据,此外在整个访问过程中也没有需要消耗计算资源的地方。


接下来看 HTTPS 的访问过程,相比 HTTP 要复杂很多,在部分场景下,使用 HTTPS 访问有可能增加 7 个 RTT。如下图:



图 2 HTTPS 首次请求对访问速度的影响


HTTPS 首次请求需要的网络耗时解释如下:


1.三次握手建立 TCP 连接。耗时一个 RTT。


2.使用 HTTP 发起 GET 请求,服务端返回 302 跳转到 https:// www.baidu. com。需要一个 RTT 以及 302 跳转延时。


a.大部分情况下用户不会手动输入https://www.baidu.com来访问HTTPS,服务端只能返回302强制浏览器跳转到HTTPS。
b.浏览器处理302跳转也需要耗时。
复制代码


3.三次握手重新建立 TCP 连接。耗时一个 RTT。


a.302跳转到HTTPS服务器之后,由于端口和服务器不同,需要重新完成三次握手,建立TCP连接。
复制代码


4.TLS 完全握手阶段一。耗时至少一个 RTT。


a.这个阶段主要是完成加密套件的协商和证书的身份认证。


b.服务端和浏览器会协商出相同的密钥交换算法、对称加密算法、内容一致性校验算法、证书签名算法、椭圆曲线(非 ECC 算法不需要)等。


c.浏览器获取到证书后需要校验证书的有效性,比如是否过期,是否撤销。


5.解析 CA 站点的 DNS。耗时一个 RTT。


a.浏览器获取到证书后,有可能需要发起OCSP或者CRL请求,查询证书状态。
b.浏览器首先获取证书里的CA域名。
c.如果没有命中缓存,浏览器需要解析CA域名的DNS。
复制代码


6.三次握手建立 CA 站点的 TCP 连接。耗时一个 RTT。


a.DNS解析到IP后,需要完成三次握手建立TCP连接。
复制代码


7.发起 OCSP 请求,获取响应。耗时一个 RTT。


8.完全握手阶段二,耗时一个 RTT 及计算时间。


a.完全握手阶段二主要是密钥协商。
复制代码


9.完全握手结束后,浏览器和服务器之间进行应用层(也就是 HTTP)数据传输。


当然不是每个请求都需要增加 7 个 RTT 才能完成 HTTPS 首次请求交互。大概只有不到 0.01%的请求才有可能需要经历上述步骤,它们需要满足如下条件:


1.必须是首次请求。即建立 TCP 连接后发起的第一个请求,该连接上的后续请求都不需要再发生上述行为。


2.必须要发生完全握手,而正常情况下 80%的请求能实现简化握手。


3.浏览器需要开启 OCSP 或者 CRL 功能。Chrome 默认关闭了 OCSP 功能,Firefox 和 IE 都默认开启。


4.浏览器没有命中 OCSP 缓存。OCSP 一般的更新周期是 7 天,Firefox 的查询周期也是 7 天,也就说是 7 天中才会发生一次 OCSP 的查询。


5.浏览器没有命中 CA 站点的 DNS 缓存。只有没命中 DNS 缓存的情况下才会解析 CA 的 DNS。

2 计算耗时增加

上节还只是简单描述了 HTTPS 关键路径上必须消耗的纯网络耗时,没有包括非常消耗 CPU 资源的计算耗时,事实上计算耗时也不小(30ms 以上),从浏览器和服务器的角度分别介绍一下:


1.浏览器计算耗时


RSA 证书签名校验,浏览器需要解密签名,计算证书哈希值。如果有多个证书链,浏览器需要校验多个证书。


RSA 密钥交换时,需要使用证书公钥加密 premaster。耗时比较小,但如果手机性能比较差,可能也需要 1ms 的时间。


ECC 密钥交换时,需要计算椭圆曲线的公私钥。


ECC 密钥交换时,需要使用证书公钥解密获取服务端发过来的 ECC 公钥。


ECC 密钥交换时,需要根据服务端公钥计算 master key。


应用层数据对称加解密。


应用层数据一致性校验。


2.服务端计算耗时


RSA 密钥交换时需要使用证书私钥解密 premaster。这个过程非常消耗性能。


ECC 密钥交换时,需要计算椭圆曲线的公私钥。


ECC 密钥交换时,需要使用证书私钥加密 ECC 的公钥。


ECC 密钥交换时,需要根据浏览器公钥计算共享的 master key。


应用层数据对称加解密。


应用层数据一致性校验。


由于客户端的 CPU 和操作系统种类比较多,所以计算耗时不能一概而论。手机端的 HTTPS 计算会比较消耗性能,单纯计算增加的延迟至少在 50ms 以上。PC 端也会增加至少 10ms 以上的计算延迟。


服务器的性能一般比较强,但由于 RSA 证书私钥长度远大于客户端,所以服务端的计算延迟也会在 5ms 以上。


##总结


HTTPS 在保证数据安全性的同时,对服务性能也造成了一些影响。在本文中,我们着重介绍了 HTTPS 从网络耗时和加密解密两方面对于服务性能的影响。在下一篇系列文章中,我们将为大家带来百度在减小 HTTPS 对性能影响方面的方法和经验。


本文转载自公众号 AIOps 智能运维(ID:AI_Ops)。


原文链接:


https://mp.weixin.qq.com/s/HvpPvs5mHQ80NEnssxshHQ


2019-09-11 18:252341

评论

发布
暂无评论
发现更多内容

江苏泰州具有资质等保公司叫什么?在哪里?

行云管家

等保 等级保护 等保测评 泰州

GQL图查询语言:高效处理复杂图数据

悦数图数据库

图数据库

GPT-4 Turbo 与 GPT-4 有什么区别?

蓉蓉

openai GPT-4 GPT-4 Turbo

智能LED显示屏能否进军电影行业?

Dylan

LED显示屏 led显示屏厂家 户内led显示屏

一文教你基于LangChain和ChatGLM3搭建本地知识库问答

华为云开发者联盟

人工智能 华为云 华为云ModelArts 华为云开发者联盟 企业号2024年5月PK榜

求职思维和招聘思维

老张

面试 求职 求职技巧

智能推荐系统有哪些特点?

悦数图数据库

DDD领域驱动设计理论|得物技术

得物技术

架构 DDD 领域驱动设计DDD 领域模型 企业号 2024年5月 PK 榜

【FAQ】HarmonyOS SDK 闭源开放能力 —Account Kit(2)

HarmonyOS SDK

HarmonyOS

CQ 社区版 2.12.3 | 任务中心、访问申请、数据变更等多个模块大改版!

BinTools图尔兹

sql 数据库管理 数据脱敏 用户提权 数据变更

自主 AI Agent 的构建|Function Calling 技术实例探索

Baihai IDP

程序员 AI 智能体 企业号 5 月 PK 榜 LLMs

软件测试性能面试题丨简述 JMeter 聚合报告—霍格沃兹测试开发学社

测试人

软件测试 性能测试

Databend 倒排索引的设计与实现

Databend

倒排索引

拼多多API实时数据接口:关键词搜索拼多多商品列表数据接口丨拼多多商品列表数据接口

tbapi

拼多多 拼多多商品列表数据接口

Crabc在交通领域中的实践与应用

Crabc低代码平台

低代码 数字化

行云堡垒-跨界融合,三大认证新高度!

行云管家

兼容 行云堡垒

14个Flink SQL性能优化实践分享

华为云开发者联盟

sql flink 华为云 华为云开发者联盟 企业号2024年5月PK榜

用数据,简单点!奇点云2024 StartDT Day数智科技大会,直播见

先锋IT

精彩回顾|“AI+Security”之大模型&网络空间安全前沿探索

云起无垠

我们小公司,哪像华为一样,用得上IPD(集成产品开发)?

IPD产品研发管理

华为 产品 项目管理 产品研发

大型网站的HTTPS实践(三)——HTTPS对性能的影响_文化 & 方法_百度HTTPS_InfoQ精选文章