比较好奇,比如 comodo 的 ssl 就比喔通的慢?
对这方面完全不知道,提问的方法也不知道对否。
请大牛指教
另外,添加 ssl 比不添加网站访问速度似乎变慢
https://blog.rori.tv/ comodod 的 ssl 访问觉得变慢
http://club.rori.tv/ 无 ssl , u 不管首页还是内容页很多内容也不觉得很慢。
请指教
1
publicID002 2016-02-04 12:33:41 +08:00 via Android
首先吐槽下标题大小写。。。
主要原因应该是 CRL 服务器, comodo 在国外,所以你在国内可能感觉慢点,另外还有证书链和算法的关系。 |
2
arfaWong 2016-02-04 12:45:57 +08:00 via Android
并不觉得第一个慢
|
3
rori OP |
4
neilp 2016-02-04 13:09:36 +08:00
本来握手就慢, 主要是 证书链太长, 大于 mtu , 要来回几次传输 证书握手包。 增加负担。
|
5
qgy18 2016-02-04 13:18:36 +08:00 via iPhone
HTTPS 网站确实更慢,因为多了 TLS 层。
HTTPS 网站优化一般分为两部分,围绕 TLS 和围绕应用层协议,如 HTTP/2 。 https://imququ.com/post/optimize-tls-handshake.html |
6
Slienc7 2016-02-04 13:26:18 +08:00
很多人都手动吊销了 WoSign 的根证书,别考虑了。
其他浏览器不清楚,不过我记得 Chrome 默认是通过自己的 CRLSet 给用户下发的吊销列表,不会直接从 根 CA 提供的 CRL 读取。 然后还和服务器配置导致的握手次数有关,还和 OCSP (如果开启了)有关,证书链长短也会影响速度。 |
7
gamexg 2016-02-04 13:33:37 +08:00 via Android
证书链长度,服务器需要将证书链发送给客户端。
|
11
Slienc7 2016-02-04 14:01:08 +08:00
@rori
1.很多人觉得国内证书权威都不可信; 2.主要原因是 WoSign 业务人员某一段时间在 V2EX 等社区进行了恶心的病毒式推广; 3.还有诸如 WoSign 违反规定在自家网站的 EV 证书里添加具有诱导性的词语(这个问题被投诉到 Mozilla 社区之后,现在 WoSign 没这么干了)等问题。 单从证书链长短角度来看,证书链短一点理所当然要快一点;但是这个下载时间本身也没多长;还得考虑到其他因素。 |
12
xiaozhizhu1997 2016-02-04 14:47:07 +08:00 via Android
上面那些说证书链的。
你的浏览器都是存储了大多数的根证书的,不用现下载整个证书链。 |
13
rori OP |
14
shyling 2016-02-04 17:15:42 +08:00 via iPad
1 ,证书链的长度。(有的中间证书还是要从服务器下载的)
2 ,你在使用 ssl 证书时使用的: 非对称的算法,位数:rsa2048 位 4096 位等等, ecc256 位, 384 位... 对称算法:例如移动端用的 chacha20-ploy1305 。 aes 之类的差别 |
16
miyuki 2016-02-04 18:53:32 +08:00
国内的也就那样了
CNNIC 颁发过假证书用于 MITM 攻击, WoSign 口碑也不咋地,从营销方式到网站文案(用国外证书 = 违法,这种说法也是在他们网站出现过的) |
17
Quaintjade 2016-02-04 19:06:24 +08:00 via Android
影响快慢的最主要因素是 crl 或 ocsp 吧,如果没有用 ocsp stapling 的话
|
18
nvidiaAMD980X 2016-02-04 20:36:36 +08:00 via Android
楼主,支国的 CA 证书你敢用?自从卖书的人神隐后,我连香港的 CA 证书都吊销了……………
还是用 Symantec 的吧…………… ________________________________________________ @miyuki 用国外证书违法?这样的虚假宣传都敢做…………看来支国没救了…………… |
19
wql 2016-02-05 14:22:16 +08:00 via Android
@nvidiaAMD980X 沃通曾宣传称该公司获得工信部和公安部许可证,称其自己为国内合法 CA 。
|
20
Williamp 2016-02-05 19:57:29 +08:00
@Rori I don't think ssl is the issue for your slow speed site, but yes agree that it will slow your website slightly. It may also happen because of your hosting plan. And if talk about speed differences between different vendors SSL then it is not the issue.
Do you have plan to purchase it or have purchased? |
21
shiji 2016-02-13 13:45:37 +08:00
@xiaozhizhu1997 CRL 是一个吊销域名清单,不是 CA 。比如说你偷了腾讯站长的邮箱给 qq 申请了数字证书,(现在私钥当然在你手里), CA 就叫 Geotrust 吧,后来接到了真正站长的邮件,说明了你盗用的情况。 你现在手里有 qq.com 的有效证书和私钥,可以用来监听 /劫持加密流量了。 Geotrust 怎么办呢?吧你那个非法所得的证书的 HASH 存到他们的 CRL 里面,客户访问到你的假的中间人网站,检查 CA 无误,证书无误,下拉 CRL 发现你这个证书在黑名单里面,浏览器马上阻止客户继续浏览(大概就是这么个过程)
|