HTTP與HTTPS對訪問速度、性能等的影響

1 前言

HTTPS 在保護用戶隱私，防止流量劫持方面發揮著非常關鍵的作用，但與此同時，HTTPS 也會降低用戶訪問速度，增加網站服務器的計算資源消耗。

本文主要介紹 https 對用戶體驗的影響。

2 HTTP與HTTPS的概念和區別

（1）HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用于萬維網上安全敏感的通訊，例如交易支付方面。

（2）超文本傳輸協議 (HTTP-Hypertext transfer protocol) 是一種詳細規定了瀏覽器和萬維網服務器之間互相通信的規則，通過因特網傳送萬維網文檔的數據傳送協議。

（3）https協議需要到ca申請證書，一般免費證書很少，需要交費。

http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議

http和https使用的是完全不同的連接方式，用的端口也不一樣,前者是80,后者是443。

http的連接很簡單,是無狀態的，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 ，要比http協議安全

3 HTTPS 對訪問速度的影響

在介紹速度優化策略之前，先來看下 HTTPS 對速度有什么影響。影響主要來自兩方面：

協議交互所增加的網絡 RTT(round trip time)。
加解密相關的計算耗時。
下面分別介紹一下。

3.1 網絡耗時增加

由于 HTTP 和 HTTPS 都需要 DNS 解析，并且大部分情況下使用了 DNS 緩存，為了突出對比效果，忽略主域名的 DNS 解析時間。

用戶使用 HTTP 協議訪問http://www.baidu.com(或者 www.baidu.com) 時會有如下網絡上的交互耗時：

圖 1 HTTP 首個請求的網絡耗時

可見，用戶只需要完成 TCP 三次握手建立 TCP 連接就能夠直接發送 HTTP 請求獲取應用層數據，此外在整個訪問過程中也沒有需要消耗計算資源的地方。

接下來看 HTTPS 的訪問過程，相比 HTTP 要復雜很多，在部分場景下，使用 HTTPS 訪問有可能增加 7 個 RTT。如下圖：

圖 2 HTTPS 首次請求對訪問速度的影響

HTTPS 首次請求需要的網絡耗時解釋如下：

1， 三次握手建立 TCP 連接。耗時一個 RTT。
2， 使用 HTTP 發起 GET 請求，服務端返回 302 跳轉到 https://www.baidu.com。需要一個 RTT 以及 302 跳轉延時。
a) 大部分情況下用戶不會手動輸入 https://www.baidu.com 來訪問 HTTPS，服務端只能返回 302 強制瀏覽器跳轉到 https。
b) 瀏覽器處理 302 跳轉也需要耗時。
3， 三次握手重新建立 TCP 連接。耗時一個 RTT。
a) 302 跳轉到 HTTPS 服務器之后，由于端口和服務器不同，需要重新完成三次握手，建立 TCP 連接。
4， TLS 完全握手階段一。耗時至少一個 RTT。
a) 這個階段主要是完成加密套件的協商和證書的身份認證。
b) 服務端和瀏覽器會協商出相同的密鑰交換算法、對稱加密算法、內容一致性校驗算法、證書簽名算法、橢圓曲線（非 ECC 算法不需要）等。
c) 瀏覽器獲取到證書后需要校驗證書的有效性，比如是否過期，是否撤銷。
5， 解析 CA 站點的 DNS。耗時一個 RTT。
a) 瀏覽器獲取到證書后，有可能需要發起 OCSP 或者 CRL 請求，查詢證書狀態。
b) 瀏覽器首先獲取證書里的 CA 域名。
c) 如果沒有命中緩存，瀏覽器需要解析 CA 域名的 DNS。
6， 三次握手建立 CA 站點的 TCP 連接。耗時一個 RTT。
a) DNS 解析到 IP 后，需要完成三次握手建立 TCP 連接。
7， 發起 OCSP 請求，獲取響應。耗時一個 RTT。
8， 完全握手階段二，耗時一個 RTT 及計算時間。
a) 完全握手階段二主要是密鑰協商。
9， 完全握手結束后，瀏覽器和服務器之間進行應用層（也就是 HTTP）數據傳輸。

當然不是每個請求都需要增加 7 個 RTT 才能完成 HTTPS 首次請求交互。大概只有不到 0.01% 的請求才有可能需要經歷上述步驟，它們需要滿足如下條件：

1， 必須是首次請求。即建立 TCP 連接后發起的第一個請求，該連接上的后續請求都不需要再發生上述行為。
2， 必須要發生完全握手，而正常情況下 80% 的請求能實現簡化握手。
3， 瀏覽器需要開啟 OCSP 或者 CRL 功能。Chrome 默認關閉了 ocsp 功能，firefox 和 IE 都默認開啟。
4， 瀏覽器沒有命中 OCSP 緩存。Ocsp 一般的更新周期是 7 天，firefox 的查詢周期也是 7 天，也就說是 7 天中才會發生一次 ocsp 的查詢。
5， 瀏覽器沒有命中 CA 站點的 DNS 緩存。只有沒命中 DNS 緩存的情況下才會解析 CA 的 DNS。

3.2 計算耗時增加

上節還只是簡單描述了 HTTPS 關鍵路徑上必須消耗的純網絡耗時，沒有包括非常消耗 CPU 資源的計算耗時，事實上計算耗時也不小（30ms 以上），從瀏覽器和服務器的角度分別介紹一下：

1， 瀏覽器計算耗時
a) RSA 證書簽名校驗，瀏覽器需要解密簽名，計算證書哈希值。如果有多個證書鏈，瀏覽器需要校驗多個證書。
b) RSA 密鑰交換時，需要使用證書公鑰加密 premaster。耗時比較小，但如果手機性能比較差，可能也需要 1ms 的時間。
c) ECC 密鑰交換時，需要計算橢圓曲線的公私鑰。
d) ECC 密鑰交換時，需要使用證書公鑰解密獲取服務端發過來的 ECC 公鑰。
e) ECC 密鑰交換時，需要根據服務端公鑰計算 master key。
f) 應用層數據對稱加解密。
g) 應用層數據一致性校驗。
2， 服務端計算耗時
a) RSA 密鑰交換時需要使用證書私鑰解密 premaster。這個過程非常消耗性能。
b) ECC 密鑰交換時，需要計算橢圓曲線的公私鑰。
c) ECC 密鑰交換時，需要使用證書私鑰加密 ECC 的公鑰。
d) ECC 密鑰交換時，需要根據瀏覽器公鑰計算共享的 master key。
e) 應用層數據對稱加解密。
f) 應用層數據一致性校驗。

由于客戶端的 CPU 和操作系統種類比較多，所以計算耗時不能一概而論。手機端的 HTTPS 計算會比較消耗性能，單純計算增加的延遲至少在 50ms 以上。PC 端也會增加至少 10ms 以上的計算延遲。

服務器的性能一般比較強，但由于 RSA 證書私鑰長度遠大于客戶端，所以服務端的計算延遲也會在 5ms 以上。

4 HTTP與HTTPS優缺點

4.1 HTTPS的優點：

安全性方面

在目前的技術背景下，HTTPS是現行架構下最安全的解決方案，主要有以下幾個好處：

1、使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器;
2、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。
3、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

4.2 HTTPS的缺點：

技術方面

1、相同網絡環境下，HTTPS協議會使頁面的加載時間延長近50%，增加10%到20%的耗電。此外，HTTPS協議還會影響緩存，增加數據開銷和功耗。

2、HTTPS協議的安全是有范圍的，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什么作用。
3、最關鍵的，SSL 證書的信用鏈體系并不安全。特別是在某些國家可以控制 CA 根證書的情況下，中間人攻擊一樣可行。

成本方面

1、SSL的專業證書需要購買，功能越強大的證書費用越高。個人網站、小網站可以選擇入門級免費證書。
2、SSL 證書通常需要綁定 固定IP，為服務器增加固定IP會增加一定費用;
3、HTTPS 連接服務器端資源占用高較高多，相同負載下會增加帶寬和服務器投入成本;
既然HTTPS有這么多缺點，那是不是就不該做呢，當然不是的，隨著技術的發展很多缺點是可以優化和彌補的。比如：
打開速度問題完全可以通過CDN加速解決，很多IDC也在著手推出免費證書和一站式HTTPS搭建服務，HTTPS成本在未來將會大大縮小!

5 我們到底要不要做HTTPS?

調研中發現，大多數人對HTTPS持觀望態度，他們對HTTPS安全性是認可的，但是從各個層面進行考慮后，做出了目前不做HTTPS網站的決定，主要有以下兩種觀點：

正方觀點

1、HTTPS具有更好的加密性能，避免用戶信息泄露;
2、HTTPS復雜的傳輸方式，降低網站被劫持的風險;
3、搜索引擎已經全面支持HTTPS抓取、收錄，并且會優先展示HTTPS結果;
4、從安全角度來說個人覺得要做HTTPS，不過HTTPS可以采用登錄后展示;
5、HTTPS綠鎖表示可以提升用戶對網站信任程度;
6、基礎成本可控，證書及服務器已經有了成型的支持方案;
7、網站加載速度可以通過cdn等方式進行彌補，但是安全不能忽略;
8、HTTPS是網絡的發展趨勢，早晚都要做;
9、可以有效防止山寨、鏡像網站;

反方觀點

1、HTTPS會降低用戶訪問速度，增加網站服務器的計算資源消耗;
2、目前搜索引擎只是收錄了小部分HTTPS內容，應該保持觀望制度;
3、HTTPS需要申請加密協議，增加了運營成本;
4、百度目前對HTTPS的優先展現效果不明顯，谷歌較為明顯;
5、技術門檻較高，無從下手;
6、目前站點不涉及私密信息，無需HTTPS;
7、兼容性有待提升，如robots不支持/聯盟廣告不支持等;
8、HTTPS網站的安全程度有限，該被黑還是被黑;
9、HTTPS維護比較麻煩，在搜索引擎支持HTTP的情況，沒必要做HTTPS;