久久综合精品视频,国产高清免费视频,国产精品一区二区三区在线

HTTPS協(xié)議和HTTP占用多少服務(wù)器資源？

2021年01月28日

HTTPS是建構(gòu)在SSL/TLS之上的HTTP協(xié)議，要比較HTTPS和HTTP占用多少服務(wù)器資源，主要看SSL/TLS本身消耗多少服務(wù)器資源。

HTTP使用TCP 三次握手建立連接，客戶端和服務(wù)器需要交換3個(gè)包，HTTPS除了 TCP 的三個(gè)包，還要加上 ssl握手需要的9個(gè)包，所
以一共是12個(gè)包。HTTP 建立連接，按照下面鏈接中針對(duì)Computer Science House的測(cè)試，是114毫秒；HTTPS建立連接，耗費(fèi)
436毫秒。ssl 部分花費(fèi)322毫秒，包括網(wǎng)絡(luò)延時(shí)和ssl 本身加解密的開銷（服務(wù)器根據(jù)客戶端的信息確定是否需要生成新的主密鑰；
服務(wù)器回復(fù)該主密鑰，并返回給客戶端一個(gè)用主密鑰認(rèn)證的信息；服務(wù)器向客戶端請(qǐng)求數(shù)字簽名和公開密鑰）。

SSL handshake latency and HTTPS optimizations. :: semicomplete.com

當(dāng)SSL 連接建立后，之后的加密方式就變成了3DES等對(duì)于 cpu 負(fù)荷較輕的對(duì)稱加密方式。相對(duì)前面 SSL 建立連接時(shí)的非對(duì)稱加密方
式，對(duì)稱加密方式對(duì) CPU 的負(fù)荷基本可以忽略不記，所以問題就來了，如果頻繁的重建 ssl 的session，對(duì)于服務(wù)器性能的影響將會(huì)
是致命的，盡管打開HTTPS 保活可以緩解單個(gè)連接的性能問題，但是對(duì)于并發(fā)訪問用戶數(shù)極多的大型網(wǎng)站，基于負(fù)荷分擔(dān)的獨(dú)立的
SSL termination proxy就顯得必不可少了，web 服務(wù)放在SSL termination proxy之后。SSL termination proxy既可以是基于硬件
的，譬如F5；也可以是基于軟件的，譬如維基百科用到的就是 Nginx。

那采用 HTTPS 后，到底會(huì)多用多少服務(wù)器資源，2010年1月 Gmail切換到完全使用 HTTPS，前端處理 SSL 機(jī)器的CPU 負(fù)荷增加不
超過1%，每個(gè)連接的內(nèi)存消耗少于20KB，網(wǎng)絡(luò)流量增加少于2%。由于 Gmail 應(yīng)該是使用N臺(tái)服務(wù)器分布式處理，所以CPU 負(fù)荷的
數(shù)據(jù)并不具有太多的參考意義，每個(gè)連接內(nèi)存消耗和網(wǎng)絡(luò)流量數(shù)據(jù)有參考意義。這篇文章中還列出了單核每秒大概處理1500次握手
（針對(duì)1024-bit 的 RSA），這個(gè)數(shù)據(jù)很有參考意義，具體信息來源的英文網(wǎng)址：ImperialViolet。

Heartbleed這個(gè)被稱作史上最大的網(wǎng)絡(luò)安全漏洞，想必很多人都有所耳聞，Heartbleed之所以能夠出現(xiàn)，其實(shí)和我們這個(gè)問題關(guān)系
還不小，前面我們談到了頻繁重建 SSL/TLS的session對(duì)于服務(wù)器影響是致命的，所以聰明的RFC 在2012年提出了 RFC6520 TLS 的
心跳擴(kuò)展。這個(gè)協(xié)議本身是簡單和完美的，通過在客戶端和服務(wù)器之間來回發(fā)送心跳的請(qǐng)求和應(yīng)答，保活 TLS session，減少重建 TLS
的session的性能開銷。令人遺憾的是，openssl 在實(shí)現(xiàn)這個(gè)心跳擴(kuò)展時(shí)，犯了一個(gè)低級(jí)的錯(cuò)誤，沒有對(duì)收到的心跳請(qǐng)求進(jìn)行長度檢查
，直接根據(jù)心跳請(qǐng)求長度拷貝數(shù)據(jù)區(qū)，導(dǎo)致簡單的心跳應(yīng)答中可能包含了服務(wù)器端的核心數(shù)據(jù)區(qū)內(nèi)容，用戶名，密碼，信用卡信息，
甚至服務(wù)器的私有密鑰都有可能泄露。心因?yàn)樾奶；畹倪@個(gè) BUG 在滴血，這個(gè)名字起的極度形象。