玉龙>
>
本文主要介绍>
本文最早发表于百度运维部官方博客
2>
在介绍速度优化策略之前,先来看下>
1协议交互所增加的网络RTT(roundtriptime)。
2加解密相关的计算耗时。
下面分别介绍一下。
21网络耗时增加
由于>
用户使用>
可见,用户只需要完成TCP三次握手建立TCP连接就能够直接发送>
接下来看>
>
1三次握手建立TCP连接。耗时一个RTT。
2使用>
a)大部分情况下用户不会手动输入来访问>
b)浏览器处理302跳转也需要耗时。
3三次握手重新建立TCP连接。耗时一个RTT。
a)302跳转到>
4TLS完全握手阶段一。耗时至少一个RTT。
a)这个阶段主要是完成加密套件的协商和证书的身份认证。
b)服务端和浏览器会协商出相同的密钥交换算法、对称加密算法、内容一致性校验算法、证书签名算法、椭圆曲线(非ECC算法不需要)等。
c)浏览器获取到证书后需要校验证书的有效性,比如是否过期,是否撤销。
5解析CA站点的DNS。耗时一个RTT。
a)浏览器获取到证书后,有可能需要发起OCSP或者CRL请求,查询证书状态。
b)浏览器首先获取证书里的CA域名。
c)如果没有命中缓存,浏览器需要解析CA域名的DNS。
6三次握手建立CA站点的TCP连接。耗时一个RTT。
a)DNS解析到IP后,需要完成三次握手建立TCP连接。
7发起OCSP请求,获取响应。耗时一个RTT。
8完全握手阶段二,耗时一个RTT及计算时间。
a)完全握手阶段二主要是密钥协商。
9完全握手结束后,浏览器和服务器之间进行应用层(也就是>
当然不是每个请求都需要增加7个RTT才能完成>
1必须是首次请求。即建立TCP连接后发起的第一个请求,该连接上的后续请求都不需要再发生上述行为。
2必须要发生完全握手,而正常情况下80%的请求能实现简化握手。
3浏览器需要开启OCSP或者CRL功能。Chrome默认关闭了ocsp功能,firefox和IE都默认开启。
4浏览器没有命中OCSP缓存。Ocsp一般的更新周期是7天,firefox的查询周期也是7天,也就说是7天中才会发生一次ocsp的查询。
5浏览器没有命中CA站点的DNS缓存。只有没命中DNS缓存的情况下才会解析CA的DNS。
22计算耗时增加
上节还只是简单描述了>
1,浏览器计算耗时
a)RSA证书签名校验,浏览器需要解密签名,计算证书哈希值。如果有多个证书链,浏览器需要校验多个证书。
b)RSA密钥交换时,需要使用证书公钥加密premaster。耗时比较小,但如果手机性能比较差,可能也需要1ms的时间。
c)ECC密钥交换时,需要计算椭圆曲线的公私钥。
d)ECC密钥交换时,需要使用证书公钥解密获取服务端发过来的ECC公钥。
e)ECC密钥交换时,需要根据服务端公钥计算masterkey。
f)应用层数据对称加解密。
g)应用层数据一致性校验。
2,服务端计算耗时
a)RSA密钥交换时需要使用证书私钥解密premaster。这个过程非常消耗性能。
b)ECC密钥交换时,需要计算椭圆曲线的公私钥。
c)ECC密钥交换时,需要使用证书私钥加密ECC的公钥。
d)ECC密钥交换时,需要根据浏览器公钥计算共享的masterkey。
e)应用层数据对称加解密。
f)应用层数据一致性校验。
由于客户端的CPU和 *** 作系统种类比较多,所以计算耗时不能一概而论。手机端的>
服务器的性能一般比较强,但由于RSA证书私钥长度远大于客户端,所以服务端的计算延迟也会在5ms以上。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)