HTTPS全站加密时代 网宿推证书优选方案

中国品牌 pinpai.china.com.cn  2018-05-16 16:07:42  责任编辑:中国品牌

中新网5月16日电在互联网全站实现HTTPS加密访问的时代,为了在安全加密的基础上提升网站访问性能,网宿科技正式推出“证书优选”方案。该方案可以在保障客户端支持的情况下,提供了对 RSA/ECC双证书的支持。这项举措,能在所有终端兼容的前提下,将HTTPS访问性能提升30%。

众所周知,HTTPS比明文传输的HTTP更安全,并且,随着目前各大网站纷纷开启全站HTTPS, Google、百度、Apple等巨头也在极力推动,HTTPS渐有取代HTTP之势。

但是,HTTPS的安全,是以牺牲性能为代价的,网宿工程师曾对相同配置环境和硬件的服务器做过HTTP和HTTPS对比测试,数据表明,HTTPS总体耗时是HTTP的2倍多。

据介绍,HTTPS相较于HTTP,增加了SSL握手的阶段。而HTTPS的延迟主要发生在SSL握手阶段,因此,SSL加解密的性能优劣,很大程度上决定了网站的访问速度。在实施SSL加密的过程中,一般会使用到非对称密钥交换和对称内容加密两大算法,其中非对称密钥交换算法主要有RSA、ECC等,对称内容加密算法主要有DES、AES等;使用RSA算法的证书称为RSA证书,使用ECC算法的证书称为ECC证书。

当前数字证书普遍采用RSA加密算法,这种加密算法的密钥长度必须是2048位以上,才能在一定程度上维持信息传输的安全性,这对互联网设备的计算能力、内存和带宽都是一大挑战。与此同时,自2014年以来,ECC证书在国外被普通使用,国内从2015年开始接受ECC证书。网宿工程师表示,因抗攻击性强、CPU占用少、内容使用少等优势,ECC加密证书的普及已经是大势所趋。但因为ECC证书更多在移动端使用,目前还在普及过程中。因此,目前RSA及ECC证书同时在使用。

在此背景下,网宿科技推出“证书优选”方案,在安全加密的基础上,进一步提升网站的访问性能。

该方案提出,针对同一域名,在网宿CDN节点上同时部署 RSA和ECC两份证书文件。网宿CDN节点作为服务端,根据客户端发送的Client Hello中的信息,判断客户端是否支持ECC证书;若支持则返回ECC证书,若不支持则返回RSA证书,并使用相对应的非对称加解密算法完成剩余的握手过程。

该方案可以在保障客户端支持的情况下,提供了对 RSA/ECC双证书的支持。它的实现既能够为大多数的浏览器提供更快、更安全的体验;与之同时,也能够保障老旧的浏览器可以获取RSA证书,具有较好的兼容性。

据悉,测试结果显示,在部署证书优选方案之后,SSL握手性能比只用RSA证书的情况提升了30%。

除此之外,网宿还通过HSTS协议优化、部署HTTPS加速专用硬件等手段,进一步优化HTTPS的访问性能。

来源:中国新闻网