HTTPS在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但与此同时,HTTPS也会降低用户访问速度增加网站服务器的计算资源消耗。本文主要介绍HTTPS对性能的影响。

HTTPS对访问速度的影响

在介绍速度优化策略之前,先来看下HTTPS对速度有什么影响。影响主要来自两方面:协议交互所增加的网络RTT(round trip time)和加解密相关的计算耗时。下面分别介绍一下。

1网络耗时增加

由于HTTP和HTTPS都需要DNS解析,并且大部分情况下使用了DNS缓存,为了突出对比效果,忽略主域名的DNS解析时间。

用户使用HTTP协议访问http://www.baidu.com(或者www.baidu.com)时会有如下网络上的交互耗时:

图1  HTTP首个请求的网络耗时

可见,用户只需要完成TCP三次握手建立TCP连接就能够直接发送HTTP请求获取应用层数据,此外在整个访问过程中也没有需要消耗计算资源的地方。

接下来看HTTPS的访问过程,相比HTTP要复杂很多,在部分场景下,使用HTTPS访问有可能增加7个RTT。如下图:

图2  HTTPS首次请求对访问速度的影响

HTTPS首次请求需要的网络耗时解释如下:

  1. 三次握手建立TCP连接。耗时一个RTT。

  2. 使用HTTP发起GET请求,服务端返回302跳转到https://www.baidu.com。需要一个RTT以及302跳转延时。

    1. 大部分情况下用户不会手动输入https://www.baidu.com来访问HTTPS,服务端只能返回302强制浏览器跳转到HTTPS。

    2. 浏览器处理302跳转也需要耗时。

  3. 三次握手重新建立TCP连接。耗时一个RTT。

    1. 302跳转到HTTPS服务器之后,由于端口和服务器不同,需要重新完成三次握手,建立TCP连接。

  4. TLS完全握手阶段一。耗时至少一个RTT。

    1. 这个阶段主要是完成加密套件的协商和证书的身份认证。

    2. 服务端和浏览器会协商出相同的密钥交换算法、对称加密算法、内容一致性校验算法、证书签名算法、椭圆曲线(非ECC算法不需要)等。

    3. 浏览器获取到证书后需要校验证书的有效性,比如是否过期,是否撤销。

  5. 解析CA站点的DNS。耗时一个RTT。

    1. 浏览器获取到证书后,有可能需要发起OCSP或者CRL请求,查询证书状态。

    2. 浏览器首先获取证书里的CA域名。

    3. 如果没有命中缓存,浏览器需要解析CA域名的DNS。

  6. 三次握手建立CA站点的TCP连接。耗时一个RTT。

    1. DNS解析到IP后,需要完成三次握手建立TCP连接。

  7. 发起OCSP请求,获取响应。耗时一个RTT。

  8. 完全握手阶段二,耗时一个RTT及计算时间。

    1. 完全握手阶段二主要是密钥协商。

  9. 完全握手结束后,浏览器和服务器之间进行应用层(也就是HTTP)数据传输。

当然不是每个请求都需要增加7个RTT才能完成HTTPS首次请求交互。大概只有不到0.01%的请求才有可能需要经历上述步骤,它们需要满足如下条件:

  1. 必须是首次请求。即建立TCP连接后发起的第一个请求,该连接上的后续请求都不需要再发生上述行为。

  2. 必须要发生完全握手,而正常情况下80%的请求能实现简化握手。

  3. 浏览器需要开启OCSP或者CRL功能。Chrome默认关闭了OCSP功能,Firefox和IE都默认开启。

  4. 浏览器没有命中OCSP缓存。OCSP一般的更新周期是7天,Firefox的查询周期也是7天,也就说是7天中才会发生一次OCSP的查询。

  5. 浏览器没有命中CA站点的DNS缓存。只有没命中DNS缓存的情况下才会解析CA的DNS。

2计算耗时增加

上节还只是简单描述了HTTPS关键路径上必须消耗的纯网络耗时,没有包括非常消耗CPU资源的计算耗时,事实上计算耗时也不小(30ms以上),从浏览器和服务器的角度分别介绍一下:

  1. 浏览器计算耗时

    1. RSA证书签名校验,浏览器需要解密签名,计算证书哈希值。如果有多个证书链,浏览器需要校验多个证书。

    2. RSA密钥交换时,需要使用证书公钥加密premaster。耗时比较小,但如果手机性能比较差,可能也需要1ms的时间。

    3. ECC密钥交换时,需要计算椭圆曲线的公私钥。

    4. ECC密钥交换时,需要使用证书公钥解密获取服务端发过来的ECC公钥。

    5. ECC密钥交换时,需要根据服务端公钥计算master key

    6. 应用层数据对称加解密。

    7. 应用层数据一致性校验。

  2. 服务端计算耗时

    1. RSA密钥交换时需要使用证书私钥解密premaster。这个过程非常消耗性能。

    2. ECC密钥交换时,需要计算椭圆曲线的公私钥。

    3. ECC密钥交换时,需要使用证书私钥加密ECC的公钥。

    4. ECC密钥交换时,需要根据浏览器公钥计算共享的master key。

    5. 应用层数据对称加解密。

    6. 应用层数据一致性校验。

由于客户端的CPU和操作系统种类比较多,所以计算耗时不能一概而论。手机端的HTTPS计算会比较消耗性能,单纯计算增加的延迟至少在50ms以上。PC端也会增加至少10ms以上的计算延迟。

服务器的性能一般比较强,但由于RSA证书私钥长度远大于客户端,所以服务端的计算延迟也会在5ms以上。总  结

HTTPS在保证数据安全性的同时,对服务性能也造成了一些影响。在本文中,我们着重介绍了HTTPS从网络耗时和加密解密两方面对于服务性能的影响。在下一篇系列文章中,我们将为大家带来百度在减小HTTPS对性能影响方面的方法和经验。

文章整理自百度HTTPS技术联合团队

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31557835/viewspace-2219412/,如需转载,请注明出处,否则将追究法律责任。

【百度】大型网站的HTTPS实践(三)——HTTPS对性能的影响的更多相关文章

  1. 大型网站系统架构实践(六)深入探讨web应用集群Session保持

    原理 在第三,四篇文章中讲到了会话保持的问题,而且还遗留了一个问题,就是会话保持存在单点故障, 当时的方案是cookie插入后缀,即haproxy指负责分发请求,应用服务自行保持用户会话,如果应 用服 ...

  2. 《大型网站SEO优化实践》学习分享

    本文主要内容源自2013年阿里技术嘉年华中阿里巴巴周文君分享<大型网站SEO优化实践>.学习过后,受益匪浅,特作笔记,经常回顾吸收学习. 大型网站SEO的特点&优势&挑战 ...

  3. 大型网站系统架构实践(五)深入探讨web应用高可用方案

    从上篇文章到这篇文章,中间用了一段时间准备,主要是想把东西讲透,同时希望大家给与一些批评和建议,这样我才能有所进步,也希望喜欢我文章的朋友,给个赞,这样我才能更有激情,呵呵. 由于本篇要写的内容有点多 ...

  4. 大型网站系统架构实践(四)http层负载均衡之haproxy实践篇(一)

    方案 上篇文章讲到了负载均衡的相关理论知识,这篇文章我打算讲讲实践方法以及实践中遇到的问题 方案:haproxy http层负载均衡 安装一个haproxy服务,两个web服务 haproxy:192 ...

  5. 大型网站的灵魂——性能

    前言     在前一篇随笔<大型网站系统架构的演化>中,介绍了大型网站的演化过程,期间穿插了一些技术和手段,我们可以从中看出一个大型网站的轮廓,但想要掌握设计开发维护大型网站的技术,需要我 ...

  6. 基于微软平台IIS/ASP.NET开发的大型网站有哪些呢?

    首先说明一下,本文绝不是要说Microsoft平台多么好,多么牛.只是要提醒一些LAMP/JAVA平台下的同志们,微软平台不至于像你们说的,和想象的那么不堪!只是你们自己不知道而已.同时,也希望广大M ...

  7. 基于微软平台IIS/ASP.NET开发的大型网站有哪些?

    首先说明一下,本文绝不是要说Microsoft平台多么好,多么牛.只是要提醒一些LAMP/Java平台下的同志们,微软平台不至于像你们说的,和想象的那么不堪!只是你们自己不知道而已.同时,也希望广大M ...

  8. 《大型网站技术架构:核心原理与案例分析》【PDF】下载

    <大型网站技术架构:核心原理与案例分析>[PDF]下载链接: https://u253469.pipipan.com/fs/253469-230062557 内容简介 本书通过梳理大型网站 ...

  9. (转)基于微软平台IIS/ASP.NET开发的大型网站有哪些?

    首先说明一下,本文绝不是要说Microsoft平台多么好,多么牛.只是要提醒一些LAMP/JAVA平台下的同志们,微软平台不至于像你们说的,和想象的那么不堪!只是你们自己不知道而已.同时,也希望广大M ...

  10. 《大型网站技术架构》1:概述 分类: C_OHTERS 2014-05-07 20:40 664人阅读 评论(0) 收藏

    参考自<大型网站技术架构>第1~3章 1.大型网站架构演化发展历程 (1)初始阶段的网站架构:一台服务器分别作为应用.数据.文件服务器 (2)应用服务和数据服务分离:三台服务器分别承担上述 ...

随机推荐

  1. .Net Core 管道机制

    开篇先上一张中间件原理图,帮助大家对管道机制形成一个直观的认识 下面我们实现一个简单的管道机制,以此为例深入理解管道机制的原理 1. 首先定义一个委托,该委托接收一个上下文对象,返回值为Task,代码 ...

  2. eclipse项目转移至IDEA与IDEA tomcat报错(idea自带tomcat版本太高)与war包部署到win服务器与idea提交git的总结

    eclipse导出项目到idea时,不要导出target: idea打开eclipse项目后,出现junit找不到的问题,原因是jar包缺失,而maven配置的低版本的junit也显示找不到,解决办法 ...

  3. 【操作系统】C语言编写的FAT16文件系统

    [操作系统]C语言编写的FAT16文件系统 这是操作系统的期末课程设计作业之一,主要功能是在物理内存中虚拟出一个1M大小的FAT16的文件系统,然后把它读入内存中,进行具体的文件操作,具体的实用性不大 ...

  4. TCP协议的特点

    tcp 面向连接,三次握手,创建会话:双向的关闭tcp 可靠性,具备传输确认机制,接收端会对接收到的数据进行ack确认;tcp 具备 rtt (raund动态估算传输时间;tcp 具备超时重传机制tc ...

  5. mysql 分页查询时,如何正确的获取总数

    1. 普遍方法: 使用 COUNT(*) ,例如: SELECT COUNT(*) as total FROM studentTask WHERE subjectName = '高中数学'; 缺点: ...

  6. Bitcoin区块链攻击方式

    目录 重放攻击-- 非人为攻击 其他攻击 重放攻击-- 非人为攻击 重放攻击 Replay Attach 攻击者重复发送相同的数据库包到目的主机,用以欺骗系统 用支付宝付款信息重复项商家索取商品 比特 ...

  7. 《Redis设计与实现》阅读笔记(一)--Redis学习

    Redis学习资料与过程记录 在实习中经常会用到很多Redis,对Redis有了一些模糊的了解,总觉得隔靴搔痒的不痛快,所以决定开始深入的了解Redis,也作为我实习期间的目标. 这篇只是为了占个位置 ...

  8. jar包冲突常用的解决方法

    jar包冲突常见的异常为找不到类(java.lang.ClassNotFoundException).找不到具体方法(java.lang.NoSuchMethodError).字段错误( java.l ...

  9. 3星|《实战复盘第四季·商业巨头们的变革之道》:GE、TCL、力拓集团、英美资源集团等企业总裁的变更经验

    实战复盘第四季·商业巨头们的变革之道(<哈佛商业评论>增刊) 本期是<哈佛商业评论>“实战复盘”栏目的10篇文章,讲的是GE.TCL.力拓集团.英美资源集团等企业如何熬过变革期 ...

  10. 为什么 jmeter 分布式测试,一定要设置 java.rmi.server.hostname

    之前总结了 jmeter 分布式测试的过程,在部署过程中提到,要在 system.properties 中配置自己的 IP. 至于为什么要这么做,源于这一次 debug 的过程. 运行环境 mint, ...