Qzone 高性能 HTTPS 实践

WeTest导读

自从去年QQ空间移动端页面开始切换到HTTPS之后，页面性能遇到了比较大的挑战，HTTPS对页面访问速度带来了比较大的影响，所以我们通过实践总结了一些能够提升HTTPS页面访问速度的方法，这些数据都是我们和STGW的同事反复实验、多次分析所得到的，希望能够减少大家对于全站启用HTTPS的顾虑。我们的目的是，在不影响用户体验的情况下，竭尽全力保护用户的信息安全！

---

页面在切到HTTPS之前，iOS的访问速度约为1795ms，切到HTTPS之后，iOS的访问速度直接飙到2630ms，我的天呐，上涨了900ms，接近50%，吓得我赶紧把入口又切回了HTTP。之后，便开始踏上了提升HTTPS访问速度的道路。（文章里的数据以iOS为例，访问速度指的是页面html开始请求到页面js执行完毕的耗时）。先简单以图示总结下我们优化的结论：

使用SPDY协议是我们优化的第一步，SPDY（speedy）是Google很早就提出的协议，通过多路复用、请求优先级以及HTTP报头压缩，来提升页面的访问速度。但是公司貌似没有一个统一的平台支持SPDY，在寻求了TEG小伙伴的帮助之后，他们首次支持了SPDY。SPDY在iOS的兼容性比较好，iOS 8.0以上的safari和webview都支持，覆盖了Qzone 85%以上的iOS用户。所以决定开启HTTPS+SPDY试试效果。开启SPDY之后的页面访问速度提升了370ms，已经非常不错了。（在SPDY的兼容性上，iOS大部分都支持了，而安卓tbs内核支持SPDY的版本也正在灰度当中，全量之后预计也能覆盖80%的Qzone用户。）

根据第一次SPDY的尝试，HTTPS的访问速度有了300多毫秒的提升，但跟HTTP相比差距还是有400ms的差距，分析了一下，这400ms的差距主要是来自于SSL握手的耗时，根据SPDY协议，每个域名建立一个TCP连接，各自要进行一次SSL握手，每次耗时约200ms，页面一共有两个关键域名，所以HTTPS+SPDY一共比HTTP慢了400ms。根据这个分析结果，我们也有了进一步的优化方向，那就是减少SSL的耗时。

减少SSL握手的耗时，可以有三个方式：

（1）提升TCP连接的复用率；

（2）提升SSL session的复用率；

（3）减少页面上的域名。

对于提升TCP连接的复用率，我们想了一个方法，在页面的入口处预建了一个连接，在用户点击入口之前，先向h5.qzone.qq.com（页面的域名）发起一个https请求，可以请求一个返回内容为空的url。同时，服务器端要开启keep alive, keep alive的时间也并不是越长越好，我们使用的是60秒。这个预建的连接，不止减少了SSL握手的耗时，实际上同时也节省了TCP建立连接的时间。根据我们的实践数据，在预建连接之后，页面的访问速度又提升了400ms。其中，TCP连接复用的命中率大约是75%。

对于提升SSL session 复用率，需要服务器端支持session ticket或者session cache，目前我们的STGW是支持了分布式session cache和全局session ticket key。需要说明一下的是，如果我们前面做了预建连接，复用了TCP连接的请求不会再发生SSL握手，也就不需要session复用。不过还是分享下我们SSL session复用的实践数据。SSL session复用对大部分安卓用户的提升非常明显，可以把SSL握手耗时从之前的400ms优化到100多ms。而对于iOS，由于本身机器性能更好，SSL 握手时间的耗时本身就比安卓用户少，从之前的200ms优化到100ms，提升了50%，并且iOS由于不支持session ticket，只能使用session cache，复用率比较低。SSL seesion总体的复用率大约是40%。

对于减少页面上的域名，前面说到页面有两个关键域名，一个是h5.qzone.qq.com，一个是cdn域名qzonestyle.gtimg.cn。每个域名的SSL握手各多耗时200ms，所以另一个优化的方式就是域名收归，把页面收归到只有一个域名，减少一次SSL握手的耗时。于是我们把页面上qzonestyle.gtimg.cn的js通过代理的方式也收归到h5.qzone.qq.com，使这个页面只有一个关键域名，而h5.qzone.qq.com在入口页面已经做了预建连接，最大程度减少了TCP和SSL的时间。域名收归后，页面的访问速度提升了200ms。这种代理收归的方式，也有另一个好处，Qzone由于业务复杂，域名非常多，通过中间层代理收归域名，再转发到各个业务，这样切换HTTPS对各个业务都是透明的，可以说大大降低了我们全站切换到HTTPS的开发成本。

推荐使用的TLS协议和cipher suite，在协议和算法层面，我们也做了一些统计来进行对比。在HTTPS握手过程中记录协议类型、加密套件、握手时间，并且将上述内容返回给页面。页面在记录用户的访问速度之后，上报数据的同时，把上述的协议类型等数据也一同上报。

从上表可以看出来，TLS1.2协议的性能要明显优于1.1和1.0。Cipher suite 方面，ECDHE-RSA-AES128-GCM-SHA256和ECDHE-RSA-AES128-SHA256性能最好。ECDHE-RSA-CHACHA20-POLY1305理论上讲对性能提升有较大帮助，但是由于iOS不支持该类算法，所以从数据样本上无法体现优势。除了上面所列出来的，后续我们依然会进行协议和算法层面的更多性能分析和优化，包括TCP参数调优，握手过程优化，SSL record size适配等。

做了以上这些优化之后，HTTPS的页面访问速度提升了1000+ms，相比HTTP，差距已经非常小了。由于TCP复用，甚至比之前的访问速度还要快。同时，我们还在马不停蹄地做更多的尝试，比如开始写这篇文章的时候还在用SPDY，写到结尾的时候我们已经启用了HTTP/2（喂，难道不是因为作者是拖延症患者吗？！）亲，你还有什么理由再不启用HTTPS？

如何测试HTTPS页面优化结果

下面，我们来看一下如何测试HTTPS页面优化结果

1） 点击进入压测大师产品首页（http://wetest.qq.com/gaps/ ）开通项目，创建测试，点击进入URL测试。名称和描述可以自己填写。（图中示例起始人数50人，每隔60秒增加50人，加到200人为上限）

输入合适的测试标题和测试设置（此图为动图，横屏观看效果更佳）

2）新建一个客户端请求，接口压测包括读写接口，读接口基本是GET请求，写接口基本是POST请求。GET请求使用url请求参数，填写测试用例的基础数值，选择正确的URL

配置页面header信息

3） 随后进行Header的配置，Header的名称在选定URL的内，打开URL的链接（推荐使用chrome浏览器），敲击F12并刷新页面，选定Network-Name-Headers-Request Headers（Header的名称与值均在内查看，如下图所示）

查看页面header信息

到这里，基本就完成了对https的配置过程了，是不是很简单？下面动图可以再回顾一下操作的流程：

gif动态图展示操作的流程（此图为动图，横屏观看效果更佳）

---

WeTest压测大师运用了沉淀十多年的内部实践经验总结，通过基于真实业务场景和用户行为进行压力测试，帮助游戏开发者发现服务器端的性能瓶颈，进行针对性的性能调优，降低服务器采购和维护成本，提高用户留存和转化率。

功能目前免费对外开放中，点击http://wetest.qq.com/gaps即可体验！

如果对使用当中有任何疑问，欢迎联系腾讯WeTest企业qq：800024531