Qzone高性可以HTTPS实践

作者 : 开心源码 本文共3141个字,预计阅读时间需要8分钟 发布时间: 2022-05-11 共65人阅读

WeTest导读

自从去年QQ空间手机端页面开始切换到HTTPS之后,页面性可以遇到了比较大的挑战,HTTPS对页面访问速度带来了比较大的影响,所以我们通过实践总结了少量可以够提升HTTPS页面访问速度的方法,这些数据都是我们和STGW的同事反复试验、屡次分析所得到的,希望可以够减少大家对于全站启使用HTTPS的顾虑。我们的目的是,在不影响使用户体验的情况下,竭尽全力保护使用户的信息安全!


页面在切到HTTPS之前,iOS的访问速度约为1795ms,切到HTTPS之后,iOS的访问速度直接飙到2630ms,我的天呐,上涨了900ms,接近50%,吓得我赶紧把入口又切回了HTTP。之后,便开始踏上了提升HTTPS访问速度的道路。(文章里的数据以iOS为例,访问速度指的是页面html开始请求到页面js执行完毕的耗时)。先简单以图示总结下我们优化的结论:

Qzone高性可以HTTPS实践

用SPDY协议是我们优化的第一步,SPDY(speedy)是Google很早就提出的协议,通过多路复使用、请求优先级以及HTTP报头压缩,来提升页面的访问速度。但是公司貌似没有一个统一的平台支持SPDY,在寻求了TEG小伙伴的帮助之后,他们初次支持了SPDY。SPDY在iOS的兼容性比较好,iOS 8.0以上的safari和webview都支持,覆盖了Qzone 85%以上的iOS使用户。所以决定开启HTTPS+SPDY试试效果。开启SPDY之后的页面访问速度提升了370ms,已经非常不错了。(在SPDY的兼容性上,iOS大部分都支持了,而安卓tbs内核支持SPDY的版本也正在灰度当中,全量之后估计也可以覆盖80%的Qzone使用户。)

根据第一次SPDY的尝试,HTTPS的访问速度有了300多毫秒的提升,但跟HTTP相比差距还是有400ms的差距,分析了一下,这400ms的差距主要是来自于SSL握手的耗时,根据SPDY协议,每个域名建立一个TCP连接,各自要进行一次SSL握手,每次耗时约200ms,页面一共有两个关键域名,所以HTTPS+SPDY一共比HTTP慢了400ms。根据这个分析结果,我们也有了进一步的优化方向,那就是减少SSL的耗时。

减少SSL握手的耗时,能有三个方式:

(1)提升TCP连接的复使用率;

(2)提升SSL session的复使用率;

(3)减少页面上的域名。

对于提升TCP连接的复使用率,我们想了一个方法,在页面的入口处预建了一个连接,在使用户点击入口之前,先向h5.qzone.qq.com(页面的域名)发起一个https请求,能请求一个返回内容为空的url。同时,服务器端要开启keep alive, keep alive的时间也并不是越长越好,我们用的是60秒。这个预建的连接,不止减少了SSL握手的耗时,实际上同时也节省了TCP建立连接的时间。根据我们的实践数据,在预建连接之后,页面的访问速度又提升了400ms。其中,TCP连接复使用的命中率大约是75%。

对于提升SSL session 复使用率,需要服务器端支持session ticket或者者session cache,目前我们的STGW是支持了分布式session cache和全局session ticket key。需要说明一下的是,假如我们前面做了预建连接,复使用了TCP连接的请求不会再发生SSL握手,也就不需要session复使用。不过还是分享下我们SSL session复使用的实践数据。SSL session复使用对大部分安卓使用户的提升非常显著,能把SSL握手耗时从之前的400ms优化到100多ms。而对于iOS,因为本身机器性可以更好,SSL 握手时间的耗时本身就比安卓使用户少,从之前的200ms优化到100ms,提升了50%,并且iOS因为不支持session ticket,只可以用session cache,复使用率比较低。SSL seesion总体的复使用率大约是40%。

对于减少页面上的域名,前面说到页面有两个关键域名,一个是h5.qzone.qq.com,一个是cdn域名qzonestyle.gtimg.cn。每个域名的SSL握手各多耗时200ms,所以另一个优化的方式就是域名收归,把页面收归到只有一个域名,减少一次SSL握手的耗时。于是我们把页面上qzonestyle.gtimg.cn的js通过代理商的方式也收归到h5.qzone.qq.com,使这个页面只有一个关键域名,而h5.qzone.qq.com在入口页面已经做了预建连接,最大程度减少了TCP和SSL的时间。域名收归后,页面的访问速度提升了200ms。这种代理商收归的方式,也有另一个好处,Qzone因为业务复杂,域名非常多,通过中间层代理商收归域名,再转发到各个业务,这样切换HTTPS对各个业务都是透明的,能说大大降低了我们全站切换到HTTPS的开发成本。

推荐用的TLS协议和cipher suite,在协议和算法层面,我们也做了少量统计来进行比照。在HTTPS握手过程中记录协议类型、加密套件、握手时间,并且将上述内容返回给页面。页面在记录使用户的访问速度之后,上报数据的同时,把上述的协议类型等数据也一同上报。

Qzone高性可以HTTPS实践

从上表能看出来,TLS1.2协议的性可以要显著优于1.1和1.0。Cipher suite 方面,ECDHE-RSA-AES128-GCM-SHA256和ECDHE-RSA-AES128-SHA256性可以最好。ECDHE-RSA-CHACHA20-POLY1305理论上讲对性可以提升有较大帮助,但是因为iOS不支持该类算法,所以从数据样本上无法表现优势。除了上面所列出来的,后续我们仍然会进行协议和算法层面的更多性可以分析和优化,包括TCP参数调优,握手过程优化,SSL record size适配等。

做了以上这些优化之后,HTTPS的页面访问速度提升了1000+ms,相比HTTP,差距已经非常小了。因为TCP复使用,甚至比之前的访问速度还要快。同时,我们还在马不停蹄地做更多的尝试,比方开始写这篇文章的时候还在使用SPDY,写到结尾的时候我们已经启使用了HTTP/2(喂,难道不是由于作者是拖延症患者吗?!)亲,你还有什么理由再不启使用HTTPS?

如何测试HTTPS页面优化结果

下面,我们来看一下如何测试HTTPS页面优化结果

1) 点击进入压测大师产品首页(http://wetest.qq.com/gaps/ )开通项目,创立测试,点击进入URL测试。名称和形容能自己填写。(图中示例起始人数50人,每隔60秒添加50人,加到200人为上限)

Qzone高性可以HTTPS实践

Qzone高性可以HTTPS实践

Qzone高性可以HTTPS实践

输入合适的测试标题和测试设置(此图为动图,横屏观看效果更佳)

2)新建一个用户端请求,接口压测包括读写接口,读接口基本是GET请求,写接口基本是POST请求。GET请求用url请求参数,填写测试使用例的基础数值,选择正确的URL

Qzone高性可以HTTPS实践

配置页面header信息

3) 随后进行Header的配置,Header的名称在选定URL的内,打开URL的链接(推荐用chrome浏览器),敲击F12并刷新页面,选定Network-Name-Headers-Request Headers(Header的名称与值均在内查看,如下图所示)

Qzone高性可以HTTPS实践

查看页面header信息

到这里,基本就完成了对https的配置过程了,是不是很简单?下面动图能再回顾一下操作的流程:

Qzone高性可以HTTPS实践

gif动态图展现操作的流程(此图为动图,横屏观看效果更佳)


WeTest压测大师运使用了沉淀十多年的内部实践经验总结,通过基于真实业务场景和使用户行为进行压力测试,帮助游戏开发者发现服务器端的性可以瓶颈,进行针对性的性可以调优,降低服务器采购和维护成本,提高使用户留存和转化率。

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » Qzone高性可以HTTPS实践

发表回复