夜空中最靓的二狗子是如何让 HTTPS 快上加快的？

作者: 又小拍 | 来源:发表于2019-08-28 10:55 被阅读0次

夜空中最靓的二狗子是如何让 HTTPS 快上加快的？
不曾相见，便不曾远离，写给我师门的第一批弟子～
夜空中最亮的星
如何在PPT中制作好看的书法字页面
夜空中最亮的星(二)
夜空中最亮的星（二）
追赶进度
今天主持靓靓老师的课程
夜空最亮的星
读书，也可以帮你解答育儿问题

二狗子是某不知名网站的站长，他热衷于通过博客分享日常的一些工作、生活、技术等，立志要成为夜空中最靓的仔。

但是前段时间有几个用户反馈，网站总是莫名会跳转到一个 xx 网站，除此之外访问速度也有点慢。作为夜空中最靓的仔，怎么可能会让劫持这种事情困扰用户，于是全站快速启用了 HTTPS。网站是安全了，但是有什么办法可以加快访问速度，二狗子再一次陷入了沉思。

HSTS

一个夜深人静的夜晚，二狗子开始深入研究 HTTPS 。他从维基百科查找了 HTTPS 的传输过程，只有熟悉了整个过程才能更好了解如何优化 HTTPS。

二狗子想着 HTTPS 虽然已经启用，但是无法确认用户是直接访问 http:// 还是 https:// ，按照普遍的用户习惯都是直接输入站点域名，再由浏览器直接补充协议类型。但是这就存在一个问题，如果在网站设置当用户访问域名的时候强制 https 进行 301 或者 302 跳转，但是这个过程中使用到 HTTP 因此容易发生劫持，受到第三方的攻击。

有什么更好的办法来避免这种情况呢？话说有矛就有盾，二狗子深入研究发现 HSTS 是可以避免这种情况。

HSTS 是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议，网站采用 HSTS 后，用户访问时无需手动在地址栏中输入 https://，浏览器会自动采用 HTTPS 访问网站地址，从而保证用户始终访问到网站的加密链接，保护数据传输安全。

HSTS 主要是通过服务器发送响应头的方式控制浏览器操作；

首先在服务器响应头中添加：
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]
设置 max-age 参数，最长建议设置 6 个月；
当用户下次使用 http 访问，客户端就会进行内部 307 跳转；

开启 HSTS 可以有效防范攻击，同时省去 301/302 跳转时间，大大提升网站安全系数和用户体验。

HTTP/2

开启 HSTS 后，二狗子更加兴奋，决定不睡觉继续深入研究。

二狗子在 IT 界混了那么久，最近频频听说 HTTP/2，但并不了解 HTTP/2 有哪些“威武”的地方，于是又开启了研究之旅。

HTTP/2 是 HTTP 协议自 1999 年 HTTP 1.1 发布后的首个更新，主要基于 SPDY 协议。它由互联网工程任务组（IETF）的 Hypertext Transfer Protocol Bis（httpbis）工作小组进行开发。该组织于 2014 年 12 月将 HTTP/2 标准提议递交至 IESG 进行讨论，于 2015 年 2 月 17 日被批准。HTTP/2 标准于 2015 年 5 月以 RFC 7540 正式发表。

HTTP/2 相比较 HTTP 1.1 有以下几个改变：

采用二进制格式传输数据，而非 HTTP 1.x 的文本格式，二进制协议解析起来更高效。
采用多路复用，代替原来的序列和阻塞机制。所有就是请求的都是通过一个 TCP 连接并发完成。
服务器推送，服务端可以在发送页面 HTML 时主动推送其它资源，而不用等到浏览器解析到相应位置，发起请求再响应。例如服务端可以主动把 JS 和 CSS 文件推送给客户端，而不需要客户端解析 HTML 再发送这些请求。服务端可以主动推送，客户端也有权利选择接收与否。如果服务端推送的资源已经被浏览器缓存过，浏览器可以通过发送 RST_STREAM 帧来拒收。主动推送也遵守同源策略，服务器不会随便推送第三方资源给客户端。
头部压缩，HTTP/2 对消息头采用 HPACK（专为 HTTP/2 头部设计的压缩格式）进行压缩传输，能够节省消息头占用的网络的流量。

HTTP/2 到底有多快，有一个 HTTP 1.1 VS HTTP/2 的演示 demo，二狗子看到之后兴奋的睡不着觉。

按照这样优化下去，二狗子的网站访问速度马上就要起飞了。

TLS 1.3

二狗子突然想到，SSL 版本已经发布到 TLS 1.3，它是 TLS 协议中最新、最快和最安全的版本，相比旧版的 TLS 协议增加了多项新功能。通过简化 SSL 握手流程，提高了连接速度，减少了延迟，并通过移除有安全隐患的加密算法，提高了用户访问的性能、效率和安全性等等。

为了更好的了解 TLS 1.3 是如何工作的，二狗子又开始了新的学习之旅。

从上图可以看出，使用 TLS 1.2 需要两次往返（ 2-RTT ）才能完成握手，然后才能发送请求。

TLS 1.3 的握手不再支持静态的 RSA 密钥交换，这意味着必须使用带有前向安全的 Diffie-Hellman 进行全面握手。从上图可以看出，使用 TLS 1.3 协议只需要一次往返（ 1-RTT ）就可以完成握手。

相比 TLS 1.2，TLS 1.3 的握手时间减半。这意味着访问一个移动端网站，使用 TLS 1.3 协议，可能会减少将近 100ms 的时间。

“不是 HTTPS 让网站变慢，而是网站优化的不够”，二狗子发出深深的感慨。经过一夜的努力，终于给博客开启了 HSTS、HTTP/2 和 TLS 1.3，二狗子感觉自己成为了博客界最靓的仔。d但是二狗子不知道的是，又拍云提供一站式 SSL 证书申请服务，HSTS、HTTP/2.0、TLS 1.3 等功能一键即可开启，分分钟就能让HTTPS快上加快。

推荐阅读：

当 “HTTP” 先生遇上“S”小姐

TLS 1.3 VS TLS 1.2，让你明白 TLS 1.3 的强大