APP開發(fā)|*網(wǎng)絡(luò)科技網(wǎng)站建設(shè)|天河區(qū)APP

大型網(wǎng)站的 HTTPS 實踐：基于協(xié)議和配置的優(yōu)化

　百度在2015年即完成HTTPS改造，那大型網(wǎng)站的HTTPS改造中都有哪些實踐經(jīng)驗，APP開發(fā)，學(xué)院君特分析這篇干貨滿滿系列內(nèi)容，轉(zhuǎn)自百度運維博客。

　　1 前言

　　上文講到 HTTPS 對用戶訪問速度的影響。

　　本文就為大家介紹 HTTPS 在訪問速度，計算性能，安全等方面基于協(xié)議和配置的優(yōu)化。

　　2 HTTPS 訪問速度優(yōu)化

　　2.1 Tcp fast open

　　HTTPS 和 HTTP 使用 TCP 協(xié)議進行傳輸，也就意味著必須通過三次握手建立 TCP 連接，但一個 RTT 的時間內(nèi)只傳輸一個 syn 包是不是太浪費？能不能在 syn 包發(fā)出的同時捎上應(yīng)用層的數(shù)據(jù)？其實是可以的，這也是 tcp fast open 的思路，簡稱 TFO。具體原理可以參考 rfc7413。

　　遺憾的是 TFO 需要高版本內(nèi)核的支持，linux 從 3.7 以后支持 TFO，但是目前的 windows 系統(tǒng)還不支持 TFO，所以只能在公司內(nèi)部服務(wù)器之間發(fā)揮作用。

　　2.2 HSTS

　　前面提到過將用戶 HTTP 請求 302 跳轉(zhuǎn)到 HTTPS，這會有兩個影響：

　　1， 不安全，302 跳轉(zhuǎn)不僅暴露了用戶的訪問站點，也很容易被中間者支持。

　　2， 降低訪問速度，302 跳轉(zhuǎn)不僅需要一個 RTT，瀏覽器執(zhí)行跳轉(zhuǎn)也需要執(zhí)行時間。

　　由于 302 跳轉(zhuǎn)事實上是由瀏覽器觸發(fā)的，服務(wù)器無法完全控制，這個需求導(dǎo)致了 HSTS 的誕生：

　　Chrome， firefox， ie 都支持了 HSTS。

　　2.3 Session resume

　　Session resume 顧名思義就是復(fù)用 session，實現(xiàn)簡化握手。復(fù)用 session 的好處有兩個：

　　1， 減少了 CPU 消耗，因為不需要進行非對稱密鑰交換的計算。

　　2， 提升訪問速度，不需要進行完全握手階段二，節(jié)省了一個 RTT 和計算耗時。

　　TLS 協(xié)議目前提供兩種機制實現(xiàn) session resume，分別介紹一下。

　　2.3.1 Session cache

　　Session cache 的原理是使用 client hello 中的 session id 查詢服務(wù)端的 session cache， 如果服務(wù)端有對應(yīng)的緩存，則直接使用已有的 session 信息提前完成握手，稱為簡化握手。

　　Session cache 有兩個缺點：

　　1， 需要消耗服務(wù)端內(nèi)存來存儲 session 內(nèi)容。

　　2， 目前的開源軟件包括 nginx，apache 只支持單機多進程間共享緩存，不支持多機間分布式緩存，對于百度或者其他大型互聯(lián)網(wǎng)公司而言，單機 session cache 幾乎沒有作用。

　　Session cache 也有一個非常大的優(yōu)點：

　　1， session id 是 TLS 協(xié)議的標準字段，市面上的瀏覽器全部都支持 session cache。

　　百度通過對 TLS 握手協(xié)議及服務(wù)器端實現(xiàn)的優(yōu)化，已經(jīng)支持全局的 session cache，能夠明顯提升用戶的訪問速度，節(jié)省服務(wù)器計算資源。

　　2.3.2 Session ticket

　　上節(jié)提到了 session cache 的兩個缺點，session ticket 能夠彌補這些不足。

　　Session ticket 的原理參考 RFC4507。簡述如下：

　　server 將 session 信息加密成 ticket 發(fā)送給瀏覽器，瀏覽器后續(xù)握手請求時會發(fā)送 ticket，server 端如果能成功解密和處理 ticket，就能完成簡化握手。

　　顯然，session ticket 的優(yōu)點是不需要服務(wù)端消耗大量資源來存儲 session 內(nèi)容。

　　Session ticket 的缺點：

　　1，APP制作， session ticket 只是 TLS 協(xié)議的一個擴展特性，目前的支持率不是很廣泛，只有 60% 左右。

　　2， session ticket 需要維護一個全局的 key 來加解密，需要考慮 KEY 的安全性和部署效率。

　　總體來講，session ticket 的功能特性明顯優(yōu)于 session cache。希望客戶端實現(xiàn)優(yōu)先支持 session ticket。

　　2.4 Ocsp stapling

　　Ocsp 全稱在線狀態(tài)檢查協(xié)議 (rfc6960)，用來向 CA 站點查詢狀態(tài)，比如是否撤銷。通常情況下，瀏覽器使用 OCSP 協(xié)議發(fā)起查詢請求，CA 返回狀態(tài)內(nèi)容，天河區(qū)APP，然后瀏覽器接受是否可信的狀態(tài)。

　　這個過程非常消耗時間，因為 CA 站點有可能在國外，網(wǎng)絡(luò)不穩(wěn)定，RTT 也比較大。那有沒有辦法不直接向 CA 站點請求 OCSP 內(nèi)容呢？ocsp stapling 就能實現(xiàn)這個功能。

　　詳細介紹參考 RFC6066 第 8 節(jié)。簡述原理就是瀏覽器發(fā)起 client hello 時會攜帶一個 certificate status request 的擴展，服務(wù)端看到這個擴展后將 OCSP 內(nèi)容直接返回給瀏覽器，完成狀態(tài)檢查。

　　由于瀏覽器不需要直接向 CA 站點查詢狀態(tài)，這個功能對訪問速度的提升非常明顯。

如何建立高規(guī)格的服裝網(wǎng)站

電子商務(wù)時代，我們隨處都可以看到一些電子商城，在這些商城里面我們最常見的就是服裝網(wǎng)站，今天我們就同大家一同來探討一下建立高規(guī)格服裝網(wǎng)站，這不僅是時代的需求，更是長期堅持不懈，電子商務(wù)人的需求。

　　一、目標

　　我們可以結(jié)合服裝的發(fā)展戰(zhàn)略，通過電子商務(wù)平臺或者通過網(wǎng)絡(luò)把品牌營銷和品牌形象策劃，哪里有的做APP，做好宣傳，進一步提升某一個服飾品牌的企業(yè)形象，所以不但提高了服飾品牌效應(yīng)，而且對網(wǎng)站的建設(shè)和發(fā)展也是一種有效的宣傳。

　　二、結(jié)合

　　電子商務(wù)平臺和服裝銷售一樣結(jié)合起來，這也就是說把某一個品牌的服裝市場發(fā)展戰(zhàn)略和電子商務(wù)平臺結(jié)合起來，在網(wǎng)站建設(shè)的過程當中不斷增加一個廉價的而且覆蓋面特別廣的宣傳平臺，可以把更好的服裝銷售理念更好的推向廣大消費者。

　　三、交互

　　建立高規(guī)格服裝網(wǎng)站，必須要通過建立電子商城和消費者進行面對面的交流溝通，隨著電子商務(wù)平臺不僅僅是消費者購買的渠道，而且可以通過這個平臺更好的了解到客戶以及不同消費者對品牌服飾的意見和建議，當然，除此之外，還有對產(chǎn)品的服務(wù)意見。所以說電子商務(wù)平臺必須要滿足用戶的不同需求，要不斷的了解消費者這真正需要的信息。

　　高規(guī)格服裝網(wǎng)站的建設(shè)，不但促進了企業(yè)和消費者之間交流的周期，而且雙方在溝通和洽談的時候可以事先通過商城網(wǎng)站進行進一步的深入溝通和了解。

　　高規(guī)格服裝網(wǎng)站的建設(shè)不僅要滿足服裝的多樣化訂單的多種可能性，而且這樣的話會大大的降低服裝企業(yè)的風險，與此同時還會降低企業(yè)產(chǎn)品的庫存量，縮短資金的回收期，所以說對于商家和網(wǎng)站來說都是特別的有意義的。

　　綜上所述，就是建立高規(guī)格服裝網(wǎng)站就必須掌握的一些知識，在電子商務(wù)網(wǎng)站建設(shè)的基礎(chǔ)上，如何運用現(xiàn)代網(wǎng)絡(luò)和辦公系統(tǒng)這是建立高規(guī)格服裝網(wǎng)站的最基本需求。