做了这么多优化,HTTPS还是很慢?原因竟然是......
当你打开购物网站时,等待加载内容的时间有多久?5秒?10秒?不,近半数人最多等3秒。数字性能管理平台dynatrace研究发现,如果电商网站不能在3秒内加载完内容,许多人会失去耐心,立即转向其他网站。
北美时装零售商nordstrom表示,网站响应时间延迟仅半秒,它的在线销售就下降了11%。该公司每年总收入达到140亿美元,网站响应延迟导致其损失数亿美元。
像nordstrom这样在意网站访问速度的企业数不胜数,当全球越来越多的网站/app开始采用https协议,以保护用户隐私,防止网站流量劫持,但同时带来的网站访问速度下降问题,也让企业非常头疼。
https网站访问慢,可能是ocsp性能不够好
不得不说,如何优化https性能,提升https访问速度,是一个非常系统和复杂的话题。对于用户来说,使用http请求,首次请求时只要和服务端tcp三次握手建立连接,便可以开始应用数据传输了。但对于https而言,事情就不那么简单。
不仅如此,由于https使用ssl证书进行加密,当用户访问https网站时,客户端(浏览器或其他设备)会首先通过ca(证书颁发机构)的证书吊销列表(crl)或者在线证书状态协议(ocsp),来验证网站的ssl证书是否有效。
相比crl验证方式,ocsp的方式更加高效,但同时也存在副作用,即某些客户端会在ssl/tls握手期间去实时查询ca提供的ocsp接口,这个过程会产生额外的开销和延时,并在得到验证结果前阻塞后续流程。
由于大多数全球权威ca的ocsp站点都设在国外,当网络环境较差、出现网络故障以及遇到特殊时期网络*,客户端无法连接到ocsp站点,或者ocsp站点无法返回证书状态内容,导致https请求可能还没到多次握手阶段,就先卡在了ocsp环节,直接影响网站的访问速度,严重时造成网站瘫痪无法访问。
由此看来,造成https网站访问速度慢,可能有多种原因,但是当我们做了很多性能优化的措施却不见效时,就该想想是否在ocsp环节出了问题。
国内首个ocsp本地化,实现https自动化加速
事实上,为了解决ocsp性能问题,业界比较主流的解决办法是ocsp stapling,即服务器可事先模拟浏览器对证书链进行验证,并将带有ca机构签名的ocsp响应保存到本地,省去浏览器的在线验证过程。
虽然ocsp stapling能够极大提高ocsp性能,但并不是所有的浏览器和容器环境都支持,而且需要企业运维人员手动配置,进行周期性的操作,这就对企业自身运维提出了极高的要求,然而大多数企业并不具备这样的专业能力。
值得庆幸的是,一种全新的解决方案已经诞生。目前,国内权威ca机构天威诚信联合digicert & symantec首次面向中国用户推出了ocsp本地化服务,由天威诚信签发的digicert & symantec ssl证书可以助力国内企业自动化实现https访问加速,不再需要专业运维人员手动配置ocsp stapling。
ocsp本地化的原理在于,将ocsp过程中访问*ocsp服务器,转变为访问国内阿里云镜像服务器,通过国内云节点提供最大程度的低延迟和高性能,从而为国内企业提供高效的https访问效率。
在测试环境中,ocsp本地化的请求返回时间较之以前提升了3-4倍。对于金融、电商、互联网等行业而言,ocsp本地化就像是https网站的“速效救心丸”,无论是节假日、双11等流量高峰时期,还是企业网络区域节点受限、特殊时期网络*等场景,都能够保障网站/app在线访问的稳定性、持续性和高性能,有效提升https网站的访问速度,解决网络拥堵的瓶颈。
需要注意的是,目前ocsp本地化服务仅限中国区,由天威诚信签发的digicert & symantec ssl证书可以直接使用此功能,而从国外渠道供应商获取到的证书并没有这项服务。企业在购买ssl证书时需留心这一细节,续签证书的企业也可以咨询天威诚信能否获得该项升级服务。
如今,全网采用https加密已成不可逆的趋势,企业若要提升https访问速度,不如先从ocsp本地化开始。