HTTPS 協(xié)議就是 HTTP+SSL/TLS，即在 HTTP 基礎(chǔ)上加入 SSL /TLS 層，提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性3大功能，目的就是為了加密數(shù)據(jù)，用于安全的數(shù)據(jù)傳輸。

專注于為中小企業(yè)提供做網(wǎng)站、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)鳳縣免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了成百上千企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

HTTPS 通過3大功能增加了數(shù)據(jù)傳輸安全，但同時(shí)也給Web性能優(yōu)化帶來了新的挑戰(zhàn)。

• HTTPS降低用戶訪問速度（需多次握手）

• 網(wǎng)站改用 HTTPS 以后，由 HTTP 跳轉(zhuǎn)到 HTTPS 的方式增加了用戶訪問耗時(shí)（多數(shù)網(wǎng)站采用 301、302 跳轉(zhuǎn)）

• HTTPS 涉及到的安全算法會(huì)消耗 CPU 資源，需要增加服務(wù)器資源（https 訪問過程需要加解密）

HTTP跳轉(zhuǎn)至HTTPS交互過程解析

1. 用戶在瀏覽器里輸入 http://www.domain.com/1213.gif 點(diǎn)擊回車以后，瀏覽器與服務(wù)器發(fā)生三次握手；

2. 服務(wù)器收到用戶的請(qǐng)求，響應(yīng) 301 狀態(tài)碼，讓用戶跳轉(zhuǎn)到 HTTPS ，重新請(qǐng)求 https://www.domain.com/1213.gif；

3. 用戶重新發(fā)起 HTTPS 請(qǐng)求，再次與服務(wù)器進(jìn)行三次 TCP 握手；

4. TCP 握手成功后，瀏覽器開始與服務(wù)器進(jìn)行 TLS 握手。HSTS重定向技術(shù)

又拍云采用了 HSTS（HTTP Strict Transport Security）技術(shù)，啟用HSTS后，將保證瀏覽器始終連接到網(wǎng)站的 HTTPS 加密版本。

1. 用戶在瀏覽器里輸入 HTTP 協(xié)議進(jìn)行訪問時(shí)，瀏覽器會(huì)自動(dòng)將 HTTP 轉(zhuǎn)換為 HTTPS 進(jìn)行訪問，確保用戶訪問安全；

2. 省去301跳轉(zhuǎn)的出現(xiàn)，縮短訪問時(shí)間；

3. 能阻止基于 SSL Strip 的中間人***，萬一證書有錯(cuò)誤，則顯示錯(cuò)誤，用戶不能回避警告，從而能夠更加有效安全的保障用戶的訪問。

TLS握手優(yōu)化

在傳輸應(yīng)用數(shù)據(jù)之前，客戶端必須與服務(wù)端協(xié)商密鑰、加密算法等信息，服務(wù)端還要把自己的證書發(fā)給客戶端表明其身份，這些環(huán)節(jié)構(gòu)成 TLS 握手過程。

TLS False Start 功能

又拍云采用了 False Start （搶先開始）技術(shù)，瀏覽器在與服務(wù)器完成 TLS 握手前，就開始發(fā)送請(qǐng)求數(shù)據(jù)，服務(wù)器在收到這些數(shù)據(jù)后，完成 TLS 握手的同時(shí)，開始發(fā)送響應(yīng)數(shù)據(jù)。

開啟 False Start 功能后，數(shù)據(jù)傳輸時(shí)間講進(jìn)一步縮短。

Session Identifier（會(huì)話標(biāo)識(shí)符）復(fù)用

如果用戶的一個(gè)業(yè)務(wù)請(qǐng)求包含了多條的加密流，客戶端與服務(wù)器將會(huì)反復(fù)握手，必定會(huì)導(dǎo)致更多的時(shí)間損耗。或者某些特殊情況導(dǎo)致了對(duì)話突然中斷，雙方就需要重新握手，增加了用戶訪問時(shí)間。

因此又拍云提供了 Session Identifier（會(huì)話標(biāo)識(shí)符）復(fù)用功能

（1）服務(wù)器為每一次的會(huì)話都生成并記錄一個(gè) ID 號(hào)，然后發(fā)送給客戶端；

（2）如果客戶端發(fā)起重新連接，則只要向服務(wù)器發(fā)送該 ID 號(hào)；

（3）服務(wù)器收到客戶端發(fā)來的 ID 號(hào)，然后查找自己的會(huì)話記錄，匹配 ID 之后，雙方就可以重新使用之前的對(duì)稱加密秘鑰進(jìn)行數(shù)據(jù)加密傳輸，而不必重新生成，減少交互時(shí)間。

因此又可以進(jìn)一步降低客戶端的訪問時(shí)間，提升用戶的訪問體驗(yàn)。又拍云已默認(rèn)開啟此功能，無需特殊配置，抓包如下圖所示：

開啟OSCP Stapling，提高TLS握手效率

采用OCSP Stapling ，提升 HTTPS 性能。服務(wù)端主動(dòng)獲取 OCSP 查詢結(jié)果并隨著證書一起發(fā)送給客戶端，從而客戶端可直接通過 Web Server 驗(yàn)證證書，提高 TLS 握手效率。

由又拍云服務(wù)器模擬瀏覽器向 CA 發(fā)起請(qǐng)求，并將帶有 CA 機(jī)構(gòu)簽名的 OCSP 響應(yīng)保存到本地，然后在與客戶端握手階段，將 OCSP 響應(yīng)下發(fā)給瀏覽器，省去瀏覽器的在線驗(yàn)證過程。由于瀏覽器不需要直接向 CA 站點(diǎn)查詢證書狀態(tài)，這個(gè)功能對(duì)訪問速度的提升非常明顯。

完全前向加密PFS，保護(hù)用戶數(shù)據(jù)，預(yù)防私鑰泄漏

非對(duì)稱加密算法 RSA，包含了公鑰、私鑰，其中私鑰是保密不對(duì)外公開的，由于此算法既可以用于加密也可以用于簽名，所以用途甚廣，但是還是會(huì)遇到一些問題：

（1） 假如我是一名***，雖然現(xiàn)在我不知道私鑰，但是我可以先把客戶端與服務(wù)器之前的傳輸數(shù)據(jù)（已加密）全部保存下來

（2）如果某一天，服務(wù)器維護(hù)人員不小心把私鑰泄露了，或者服務(wù)器被我攻破獲取到了私鑰

（3）那我就可以利用這個(gè)私鑰，破解掉之前已被我保存的數(shù)據(jù)，從中獲取有用的信息

所以為了防止上述現(xiàn)象發(fā)生，我們必須保護(hù)好自己的私鑰。

但如果私鑰確實(shí)被泄漏了，那我們改如何補(bǔ)救呢？那就需要PFS（perfect forward secrecy）完全前向保密功能，此功能用于客戶端與服務(wù)器交換對(duì)稱密鑰，起到前向保密的作用，也即就算私鑰被泄漏，***也無法破解先前已加密的數(shù)據(jù)。

實(shí)現(xiàn)此功能需要服務(wù)器支持以下算法和簽名組合：

（1）ECDHE 密鑰交換、RSA 簽名；

（2）ECDHE 密鑰交換、ECDSA 簽名；

又拍云已默認(rèn)支持上述組合，無需特殊配置，抓包如下圖所示：

HTTP/2協(xié)議支持

HTTP/2 是在 HTTPS 協(xié)議的基礎(chǔ)上實(shí)現(xiàn)的，所以只要使用又拍云 HTTPS 加速服務(wù)的域名，都可免費(fèi)享受 HTTP/2 服務(wù)，無需做任何特殊配置。全平臺(tái)支持默認(rèn)開啟 HTTP/2.0 , 無縫兼容各瀏覽器及服務(wù)器。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：詳解全站HTTPS訪問優(yōu)化-創(chuàng)新互聯(lián)
本文來源：http://jinyejixie.com/article18/dijhdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、云服務(wù)器、App設(shè)計(jì)、企業(yè)建站、企業(yè)網(wǎng)站制作、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)