大型网站HTTPS实践三基于协议和配置的优化Word文档格式.docx
《大型网站HTTPS实践三基于协议和配置的优化Word文档格式.docx》由会员分享,可在线阅读,更多相关《大型网站HTTPS实践三基于协议和配置的优化Word文档格式.docx(8页珍藏版)》请在冰点文库上搜索。
其实是可以的,这也是tcpfastopen的思路,简称TFO。
具体原理可以参考rfc。
遗憾的是TFO需要高版本内核的支持,linux从.以后支持TFO,但是目前的windows系统还不支持TFO,所以只能在内部服务器之间发挥作用。
.HSTS
前面提到过将用户请求跳转到S,这会有两个影响:
、不安全,跳转不仅暴露了用户的访问站点,也很容易被中间者支持。
、降低访问速度,跳转不仅需要一个RTT,浏览器执行跳转也需要执行时间。
两种机制实现sessionresume,分别介绍一下。
..Sessioncache
Sessioncache的原理是使用clienthello中的sessionid查询服务端的sessioncache,如果服务端有对应的缓存,则直接使用已有的session信息提前完成握手,称为简化握手。
Sessioncache有两个缺点:
、需要消耗服务端内存来存储session内容。
、目前的开源软件包括nginx,apache只支持单机多进程间共享缓存,不支持多机间分布式缓存,对于XX或者其他大型互联而言,单机sessioncache几乎没有作用。
Sessioncache也有一个非常大的优点:
sessionid是TLS协议的标准字段,市面上的浏览器全部都支持sessioncache。
XX通过对TLS握手协议及服务器端实现的优化,已经支持全局的sessioncache,能够明显提升用户的访问速度,节省服务器计算资源。
..Sessionticket
上节提到了sessioncache的两个缺点,sessionticket能够弥补这些不足。
Sessionticket的原理参考RFC。
简述如下:
Domain:
More:
hgs2w
server将session信息加密成ticket发送给浏览器,浏览器后续握手请求时会发送ticket,server端如果能成功解密和处理ticket,就能完成简化握手。
显然,sessionticket的优点是不需要服务端消耗大量资源来存储session内容。
Sessionticket的缺点:
、sessionticket只是TLS协议的一个扩展特性,目前的支持率不是很广泛,只有%左右。
、sessionticket需要维护一个全局的key来加解密,需要考虑KEY的安全性和部署效率。
总体来讲,sessionticket的功能特性明显优于sessioncache。
希望客户端实现优先支持sessionticket。
.Ocspstapling
Ocsp全称在线证书状态检查协议(rfc),用来向CA站点查询证书状态,比如是否撤销。
通常情况下,浏览器使用OCSP协议发起查询请求,CA返回证书状态内容,然后浏览器接受证书是否可信的状态。
这个过程非常消耗时间,因为CA站点有可能在国外,络不稳定,RTT也比较大。
那有没有办法不直接向CA站点请求OCSP内容呢?
ocspstapling就能实现这个功能。
详细介绍参考RFC第节。
简述原理就是浏览器发起clienthello时会携带一个certificatestatusrequest的扩展,服务端看到这个扩展后将OCSP内容直接返回给浏览器,完成证书状态检查。
由于浏览器不需要直接向CA站点查询证书状态,这个功能对访问速度的提升非常明显。
Nginx目前已经支持这个ocspstaplingfile,只需要配置ocspstaplingfile的指令就能开启这个功能:
ssl_staplingon;
ssl_stapling_fileocsp.staple;
.Falsestart
通常情况下,应用层数据必须等完全握手全部结束之后才能传输。
这个其实比较浪费时间,那能不能类似TFO一样,在完全握手的第二个阶段将应用数据一起发出来呢?
google提出了falsestart来实现这个功能。
详细介绍参考s:
//tools.ietf.org/html/draft-bmoeller-tls-falsestart-。
简单概括Falsestart的原理就是在client_key_exchange发出时将应用层数据一起发出来,能够节省一个RTT。
Falsestart依赖于PFS(perfectforwardsecrecy完美前向加密),而PFS又依赖于DHE密钥交换系列算法(DHE_RSA,ECDHE_RSA,DHE_DSS,ECDHE_ECDSA),所以尽量优先支持ECDHE密钥交换算法实现falsestart。
.使用SPDY或者
SPDY是google推出的优化传输效率的协议(s:
///spdy),它基本上沿用了协议的语义,但是通过使用帧控制实现了多个特性,显著提升了协议的传输效率。
SPDY最大的特性就是多路复用,能将多个请求在同一个连接上一起发出去,不像目前的协议一样,只能串行地逐个发送请求。
Pipeline虽然支持多个请求一起发送,但是接收时依然得按照顺序接收,本质上无法解决并发的问题。
是IETF年月份通过的下一代协议,它以SPDY为原型,经过两年多的讨论和完善最终确定。
就不过多介绍SPDY和的收益,需要说明两点:
、SPDY和目前的实现默认使用S协议。
、SPDY和都支持现有的语义和API,对WEB应用几乎是透明的。
Google宣布chrome浏览器年将放弃SPDY协议,全面支持,但是目前国内部分浏览器商进度非常慢,不仅不支持,连SPDY都没有支持过。
XX服务端和XX手机浏览器现在都已经支持SPDY.协议。
Seo优化就是对网站的优化,想要把品牌关键词做上搜索引擎搜索前位,并能够吸引流量和扩大目标用户点击,我们seoer一定要具有SEO思维。
那么SEO思维到底是什么呢?
下面登登SEO简单解释一下SEO思维。
第一步:
定位目标群体,做一个网站需要知道你是做什么的?
你的用户是那些人?
我们进行网站的用户群体定位,定位这个网站的目标人群。
第二步:
确定用户需求,分析目标用户的用户需求,那么怎么分析呢?
进入2016年用户需求被提及的次数越来越多也就是说用户需求的重要性也越来越重要。
,其实说白了就是把用户想要看的内容直接放到用户的面前,降低用户的选择成本。
关于用户需求,具体怎么分析得到用户需求,这个知识点这篇文章几句话就能说清楚的,用户需求的分析和挖掘是一个不断变化的量,他并不是一成不变的。
现在的用户需求就是一个不断变化的变量那么我们作为SEOer掌握的应该是分析用户需求的能力。
第三步:
网站标题的确定,我们在得到了目标用户需求的前提下,在通过分析用户需求后,我们需要对网站的标题进行筛选和确定(即关键词的确定)。
因为网站标题的确定就是在确定网站的目标用户群体,如果你的网站的标题改变了那相应的你网站的目标用户群体也就改变了。
第四步:
设置网站的布局,在分析出用户需求确定网站的标题和目标用户群体以后,在这个时候就可以设置网站的栏目和网站的页面布局和结构了。
第五步:
SEO基础优化,在确定了网站的标题,网站的栏目,网站的页面布局结构之后。
我们就需要进行网站的SEO基础优化,让你的网站对搜索引擎友好能够让蜘蛛顺利的抓取你的网站。
升级会员 