Показать сообщение отдельно
Старый 24.09.2014, 03:05   #3
Glueon
Продвинутый
 
Аватар для Glueon
 
Регистрация: 31.08.2014
Сообщений: 32
Отправить сообщение для Glueon с помощью ICQ Отправить сообщение для Glueon с помощью Skype™
По умолчанию

В последнее время в пост-сноуэденовскую эпоху люди стали активно переходить на HTTPS, но сразу сталкивались с визуально заметным снижением скорости загрузки и общего отклика сайта. Однако, при грамотном подходе к настройке сервера можно значительно подтянуть скорость открытия страниц, чтобы это перестало доставлять дискомфорт (с такой задачей люди обращаются к нам).
Для ее решения в первую очередь мы подключаем SPDY.
SPDY - протокол прикладного уровня, разработанный Google-ом. Основной сутью протокола является снижение времени загрузки страниц за счет мультиплексирования передачи файлов, чтобы при этом требовалось по одному соединению на каждого клиента. По данным Google использование протокола позволяет сократить скорость загрузки страницы на 30% в зависимости от ее типа.
Наверстать лишние секунды помогает включение OCSP - протокол для проверки статуса сертификата. По умолчанию браузер обращается к регистратору, выдавшего SSL сертификат, для уточнения действенности сертификата, так как сам по себе он может быть и валидным, но на самом деле по какой-то причине отозванным центром сертификации. На это уходит некоторое время клиента. Задачу проверки валидности можно переложить на собственный веб-сервер, который с определенной периодичностью будет сам обращаться к центру сертификации за подписанным ответом, который затем будет выдаваться во время установки сессии с клиентом, исключая таким образом необходимость в самостоятельном запросе клиентом сведений о состоянии сертификата.
Самой накладной частью при работе с TLS/SSL является само инициирование соединения, поэтому уменьшить время отклика последующих запросов можно включив кэширование параметров сессии. В случае с SPDY это поможет уменьшить затраты при перезагрузке страницы, т.е. в ситуациях, когда после закрытого ранее соединение создается новое.
Также не забываем включать STS (Strict Transport Security) - специальный заголовок, заставляющий браузер самостоятельно делать запросы исключительно по HTTPS в течение заданного времени.
Немного о грустном. В nginx в версиях 0.5.6 - 1.7.4 выявлена проблема в работе с SSL кэшем, позволяющая повторно использовать закэшированные SSL сессии для проведения MITM атак. Проблема исправлена в версиях nginx 1.7.5 и 1.6.2. На данный момент пакет nginx в Debian wheezy является уязвимым, исправления выложены только в репозитории squeezy lts и sid.
Glueon вне форума   Ответить с цитированием