百度在2015完成了HTTPS转换。大型网站在HTTPS转换中有哪些实践经验俊特学院分析了这一系列干货的全部内容，并将其转到百度运营维护博客。
    
     从访问速度、计算性能、安全性等方面介绍了基于协议和配置的HTTPS的优化。
    
     HTTPS和HTTP使用TCP协议进行传输，这意味着必须通过三次握手来建立TCP连接，但是在一个RTT时间只传输一个syn包是否太浪费了SYN包能同时从应用层发送数据吗实际上，它也是TCP快速开放的思想，称为TFO。具体原理可以参考rfc7413。
    
     不幸的是，TFO需要来自内核的高版本的支持。Linux从3.7开始就支持TFO，但是当前的Windows系统不支持TFO，因此它只能在公司的内部服务器之间发挥作用。
    
     由于302跳转实际上是由浏览器触发的，并且服务器没有完全控制，因此这一要求导致了HSTS的诞生：
    
     HSTS（HTTP严格传输安全）。服务器返回HSTS的HTTP报头。在浏览器获得HSTS头之后，默认情况下将请求在内部跳转到https:www.baidu.com一段时间，而不管用户是输入www.baidu.com还是http:www.baidu.com。
    
     Chrome、Firefox、IE都支持HSTS（http:/CANIU.COM/SyfExt= StuttTrimtSturnSturnices）。
    
     会话恢复，顾名思义，重用会话以简化握手。重用会话有两个好处：
    
     会话缓存的原理是使用客户端hello中的会话ID查询服务器的会话缓存。如果服务器具有相应的缓存，则可以直接使用现有的会话信息提前完成握手，这称为简化握手。
    
     2。目前的开源软件包括nginx，Apache只支持单机多进程共享缓存，不支持多机分布式缓存。对于百度或其他大型互联网公司，单机会话缓存效果甚微。
    
     1。会话ID是TLS协议的标准字段。市场上的所有浏览器都支持会话缓存。
    
     百度通过优化TLS握手协议和服务器端实现支持全局会话缓存，可以显著提高用户访问速度，节省服务器计算资源。
    
     服务器将会话信息加密为票证并将其发送到浏览器。浏览器将在发送后续握手请求时发送票证。如果服务器能够成功解密和处理票据，则可以完成简化的握手。
    
     1。会话票只是TLS协议的一个扩展特性。目前，支持率不是很广，只有60%左右。
    
     2。会话票需要维护一个全局密钥进行加密和解密。它需要考虑密钥的安全性和部署效率。
    
     一般来说，会话票证在功能上优于会话缓存，希望客户端实现能优先支持会话票证。
    
     Ocsp，全名在线证书状态检查协议（rfc6960），用于向CA站点查询证书状态，例如撤销。通常，浏览器使用OCSP协议发起查询请求，CA返回证书状态的内容，然后浏览器接受证书是否存在。是可信还是不可信。
    
     这个过程非常耗时，因为CA站点可能比较广泛，网络不稳定，RTT也比较大。有没有办法不直接从CA站点请求OCSP内容OCSP订书可以实现这个功能。
    
     详细描述了RFC6066的参考部分8，其原理是浏览器发起客户端问候时，将携带证书状态请求的扩展。当服务器看到这个扩展时，OCSP内容将直接返回到浏览器以完成证书状态检查。
    
     由于浏览器不需要直接从CA站点查询证书状态，因此该功能明显提高了访问速度。
    
     Nginx当前支持这个OCSP装订文件，可以通过配置OCSP装订文件的指令来打开该文件：
    
     通常，应用层数据必须等到握手完成后才能传输。这是浪费时间。我们能像TFO一样在握手的第二阶段一起发送应用程序数据吗Google建议使用false start来实现这个功能。详细介绍参见https:/tools.ietf.orghtml/.-bmoeller-tls-false start-00。
    
     错误启动的原理是在发出client_key_exchange时将应用层数据一起发送，这样可以节省一个RTT。
    
     虚假启动依赖于PFS（完全前向保密完全前向加密），PFS依赖于DHE密钥交换算法系列（DHE_RSA、ECDHE_RSA、DHE_DSS、ECDHE_ECDSA），因此优先考虑ECDHE密钥交换算法以实现虚假启动。
    
     SPDY是Google推出的一种协议（https:/www.chromium.orgspdy），用于优化HTTP的传输效率。它基本上遵循了HTTP协议的语义，但通过帧控制实现了许多特性，显著提高了HTTP协议的传输效率。
    
     SPDY的最大特点是多路复用，它可以在同一个连接上同时发送多个HTTP请求。与现有的HTTP协议不同，流水线只能逐个串行地发送请求，虽然流水线支持多个请求一起发送，但在接收时仍必须按顺序接收，这基本上不能解决并发问题。
    
     HTTP2是IETF在2015年2月采用的下一代HTTP协议。它以SPDY为原型，经过两年多的讨论和改进最终确定。
    
     Google在2016年宣布Chrome浏览器将放弃SPDY协议，完全支持HTTP2，但目前国内一些浏览器厂商的速度非常缓慢，不仅不支持HTTP2，甚至SPDY也不支持。
    
     ECC椭圆加密算法比普通的离散对数算法快得多，下表是NIST推荐的密钥长度比较表。
    
     对于RSA算法，至少使用2048位的密钥长度来保证安全性，ECC只需要224位的密钥长度即可达到RSA 2048位的安全强度，执行相同的模块化指数运算明显要快得多。
    
     一般来说，新版本的OpenSSL比旧版本更快、更安全。例如，OpenSSL 1.0.2使用Intel最新的优化结果，椭圆曲线P256的计算性能提高了四倍。
    
     自2014年以来，Openssl已经升级了5次，主要是为了修复实现或算法中的bug。所以尽量使用最新的版本来避免安全风险。
    
     上述两种方案的主流应用是将硬件插入到服务器的PCI槽中，通过硬件完成最耗费性能的计算。
    
     B)当存在相对较大的安全漏洞时，一些硬件解决方案不能在短时间内升级。例如，在2014年暴露的令人心碎的漏洞。
    
     三。硬件加速性能不能得到充分利用。硬件加速程序通常以内核状态运行。计算结果需要向应用层传输IO和内存复制开销。即使硬件性能非常好，上层的同步等待和IO开销也会导致整体性能不能满足预期，不能充分利用硬件加速卡的计算能力。
    
     4、维护不善。硬件驱动程序和应用层API大多由安全厂商提供，出现问题后需要跟进。用户无法掌握核心代码，更被动。与开源openssl不同，用户可以同时掌握算法和协议。
    
     三。Web服务器和TLS计算集群之间的任务是异步的，也就是说，在Web服务器将内容发送到加速集群后，它可以继续处理其他请求。整个过程是异步和非阻塞的。
    
     SSL2.0早已被证明是一种不安全的协议。统计数据表明，没有支持SSL2.0的客户端，因此在服务器端禁用SSL2.0协议是安全的。
    
     PoODLE攻击在2014年爆发，SSL 3.0被证明是不安全的。但是，统计数据显示，0.5%的流量仍然只支持SSL 3.0。因此，只有SSL3.0可以被选择性地支持。
    
     2。证书签名算法。因为一些浏览器和操作系统不支持ECDSA签名，所以目前默认使用RSA签名。Sa1签名不再安全。从2016年开始，Chrome和Microsoft不再支持SHA1签名（http:/googleonlinesecurity.blogspot.jp201409逐渐日落-sha 1.html）。
    
     三。对称的加密和解密算法。AES-GCM算法是首选的，对于超过1.0的协议，禁用RC4(rfc7465)。
    
     4。内容一致性检查算法：M5和Sa1已经不安全。建议使用SAH2之上的安全散列函数。
    
     降级攻击一般包括密码套件回滚和版本回滚两种，降级攻击的原理是攻击者伪造或修改客户端Hello消息，以便使用弱加密套件或p罗托克
    
     为了应对降级攻击，SCSV现在在服务器和浏览器之间实现。该原理涉及HTTPS://Too.IETF.org/HTML/DRAFT-IETF-TLS-DENGRADE-SCSV-00。
    
     如果客户想要降级，它必须发送TLSYSSCV的信号。如果服务器看到TLS_SCSV，它将不接受低于服务器上最高协议版本的协议。
    
     TLS重新协商有两种类型：密码套件重新协商和协议重新协商。
    
     2。在重新协商的过程中，不断发起完整的握手请求，触发服务器进行高强度的计算和服务拒绝。
    
     对于重新协商，最直接的保护手段是禁止客户发起重新协商。当然，由于特殊场景的需要，应该允许服务器主动发起重新协商。
    
     HTTPS的实践和优化涉及到很多知识点。由于空间关系，本文简单介绍了许多优化策略。如果你想了解协议背后的原理，你还需要详细阅读TLS协议和PKI知识。对于大型站点，如果你想达到最终目标，HTTPS部署需要结合产品和基础设施架构来详细考虑。与部署启用HTTPS的访问和优化相比，在产品和操作级别上将花费更多的精力。本系列的下一篇文章将进一步介绍。