5. 解析CA站点的DNS。耗时一个RTT。

a) 浏览器获取到证书后,有可能需要发起OCSP或者CRL请求,查询证书状态。

b) 浏览器首先获取证书里的CA域名。

c) 如果没有命中缓存,浏览器需要解析CA域名的DNS。

6. 三次握手建立CA站点的TCP连接。耗时一个RTT。

a) DNS解析到IP后,需要完成三次握手建立TCP连接。

7. 发起OCSP请求,获取响应。耗时一个RTT。

8. 完全握手阶段二,耗时一个RTT及计算时间。

a) 完全握手阶段二主要是密钥协商。

9. 完全握手结束后,浏览器和服务器之间进行应用层(也就是HTTP)数据传输。

当然不是每个请求都需要增加7个RTT才能完成HTTPS首次请求交互。大概只有不到0.01%的请求才有可能需要经历上述步骤,它们需要满足如下条件:

1. 必须是首次请求。即建立TCP连接后发起的第一个请求,该连接上的后续请求都不需要再发生上述行为。

2. 必须要发生完全握手,而正常情况下80%的请求能实现简化握手。

3. 浏览器需要开启OCSP或者CRL功能。Chrome默认关闭了ocsp功能,firefox和IE都默认开启。

4. 浏览器没有命中OCSP缓存。Ocsp一般的更新周期是7天,firefox的查询周期也是7天,也就说是7天中才会发生一次ocsp的查询。

5. 浏览器没有命中CA站点的DNS缓存。只有没命中DNS缓存的情况下才会解析CA的DNS。

2.2 计算耗时增加

上节还只是简单描述了HTTPS关键路径上必须消耗的纯网络耗时,没有包括非常消耗CPU资源的计算耗时,事实上计算耗时也不小(30ms以上),从浏览器和服务器的角度分别介绍一下:

1, 浏览器计算耗时

a) RSA证书签名校验,浏览器需要解密签名,计算证书哈希值。如果有多个证书链,浏览器需要校验多个证书。

b) RSA密钥交换时,需要使用证书公钥加密premaster。耗时比较小,但如果手机性能比较差,可能也需要1ms的时间。

c) ECC密钥交换时,需要计算椭圆曲线的公私钥。

d) ECC密钥交换时,需要使用证书公钥解密获取服务端发过来的ECC公钥。

e) ECC密钥交换时,需要根据服务端公钥计算master key。

f) 应用层数据对称加解密。

g) 应用层数据一致性校验。

2, 服务端计算耗时

a) RSA密钥交换时需要使用证书私钥解密premaster。这个过程非常消耗性能。

b) ECC密钥交换时,需要计算椭圆曲线的公私钥。

c) ECC密钥交换时,需要使用证书私钥加密ECC的公钥。

d) ECC密钥交换时,需要根据浏览器公钥计算共享的master key。

e) 应用层数据对称加解密。

f) 应用层数据一致性校验。

由于客户端的CPU和操作系统种类比较多,所以计算耗时不能一概而论。手机端的HTTPS计算会比较消耗性能,单纯计算增加的延迟至少在50ms以上。PC端也会增加至少10ms以上的计算延迟。

服务器的性能一般比较强,但由于RSA证书私钥长度远大于客户端,所以服务端的计算延迟也会在5ms以上。

3 结束语

本系列的后续文章将进一步解释针对性的优化措施。


共2页: 上一页12下一页

相关内容