[转]Qzone高性能HTTPS实践

【全文转载自】Qzone高性能HTTPS实践

WeTest导读
自从去年QQ空间移动端页面开始切换到HTTPS之后,页面性能遇到了比较大的挑战,HTTPS对页面访问速度带来了比较大的影响,所以我们通过实践总结了一些能够提升HTTPS页面访问速度的方法,这些数据都是我们和STGW的同事反复实验、多次分析所得到的,希望能够减少大家对于全站启用HTTPS的顾虑。我们的目的是,在不影响用户体验的情况下,竭尽全力保护用户的信息安全!

页面在切到HTTPS之前,iOS的访问速度约为1795ms,切到HTTPS之后,iOS的访问速度直接飙到2630ms,我的天呐,上涨了900ms,接近50%,吓得我赶紧把入口又切回了HTTP。之后,便开始踏上了提升HTTPS访问速度的道路。(文章里的数据以iOS为例,访问速度指的是页面html开始请求到页面js执行完毕的耗时)。先简单以图示总结下我们优化的结论:

使用SPDY协议是我们优化的第一步,SPDY(speedy)是Google很早就提出的协议,通过多路复用、请求优先级以及HTTP报头压缩,来提升页面的访问速度。但是公司貌似没有一个统一的平台支持SPDY,在寻求了TEG小伙伴的帮助之后,他们首次支持了SPDY。SPDY在iOS的兼容性比较好,iOS 8.0以上的safari和webview都支持,覆盖了Qzone 85%以上的iOS用户。所以决定开启HTTPS+SPDY试试效果。开启SPDY之后的页面访问速度提升了370ms,已经非常不错了。(在SPDY的兼容性上,iOS大部分都支持了,而安卓tbs内核支持SPDY的版本也正在灰度当中,全量之后预计也能覆盖80%的Qzone用户。)

根据第一次SPDY的尝试,HTTPS的访问速度有了300多毫秒的提升,但跟HTTP相比差距还是有400ms的差距,分析了一下,这400ms的差距主要是来自于SSL握手的耗时,根据SPDY协议,每个域名建立一个TCP连接,各自要进行一次SSL握手,每次耗时约200ms,页面一共有两个关键域名,所以HTTPS+SPDY一共比HTTP慢了400ms。根据这个分析结果,我们也有了进一步的优化方向,那就是减少SSL的耗时。

减少SSL握手的耗时,可以有三个方式:
(1)提升TCP连接的复用率;
(2)提升SSL session的复用率;
(3)减少页面上的域名。

对于提升TCP连接的复用率,我们想了一个方法,在页面的入口处预建了一个连接,在用户点击入口之前,先向h5.qzone.qq.com(页面的域名)发起一个https请求,可以请求一个返回内容为空的url。同时,服务器端要开启keep alive, keep alive的时间也并不是越长越好,我们使用的是60秒。这个预建的连接,不止减少了SSL握手的耗时,实际上同时也节省了TCP建立连接的时间。根据我们的实践数据,在预建连接之后,页面的访问速度又提升了400ms。其中,TCP连接复用的命中率大约是75%。

** 对于提升SSL session 复用率,需要服务器端支持session ticket或者session cache,目前我们的STGW是支持了分布式session cache和全局session ticket key。需要说明一下的是,如果我们前面做了预建连接,复用了TCP连接的请求不会再发生SSL握手,也就不需要session复用。不过还是分享下我们SSL session复用的实践数据。SSL session复用对大部分安卓用户的提升非常明显,可以把SSL握手耗时从之前的400ms优化到100多ms。而对于iOS,由于本身机器性能更好,SSL 握手时间的耗时本身就比安卓用户少,从之前的200ms优化到100ms**,提升了50%,并且iOS由于不支持session ticket,只能使用session cache,复用率比较低。SSL seesion总体的复用率大约是40%。

对于减少页面上的域名,前面说到页面有两个关键域名,一个是h5.qzone.qq.com,一个是cdn域名qzonestyle.gtimg.cn。每个域名的SSL握手各多耗时200ms,所以另一个优化的方式就是域名收归,把页面收归到只有一个域名,减少一次SSL握手的耗时。于是我们把页面上qzonestyle.gtimg.cn的js通过代理的方式也收归到h5.qzone.qq.com,使这个页面只有一个关键域名,而h5.qzone.qq.com在入口页面已经做了预建连接,最大程度减少了TCP和SSL的时间。域名收归后,页面的访问速度提升了200ms。这种代理收归的方式,也有另一个好处,Qzone由于业务复杂,域名非常多,通过中间层代理收归域名,再转发到各个业务,这样切换HTTPS对各个业务都是透明的,可以说大大降低了我们全站切换到HTTPS的开发成本。

推荐使用的TLS协议和cipher suite,在协议和算法层面,我们也做了一些统计来进行对比。在HTTPS握手过程中记录协议类型、加密套件、握手时间,并且将上述内容返回给页面。页面在记录用户的访问速度之后,上报数据的同时,把上述的协议类型等数据也一同上报。

从上表可以看出来,TLS1.2协议的性能要明显优于1.1和1.0。Cipher suite 方面,ECDHE-RSA-AES128-GCM-SHA256和ECDHE-RSA-AES128-SHA256性能最好。ECDHE-RSA-CHACHA20-POLY1305理论上讲对性能提升有较大帮助,但是由于iOS不支持该类算法,所以从数据样本上无法体现优势。除了上面所列出来的,后续我们依然会进行协议和算法层面的更多性能分析和优化,包括TCP参数调优,握手过程优化,SSL record size适配等。

做了以上这些优化之后,HTTPS的页面访问速度提升了1000+ms,相比HTTP,差距已经非常小了。由于TCP复用,甚至比之前的访问速度还要快。同时,我们还在马不停蹄地做更多的尝试,比如开始写这篇文章的时候还在用SPDY,写到结尾的时候我们已经启用了HTTP/2(喂,难道不是因为作者是拖延症患者吗?!)亲,你还有什么理由再不启用HTTPS?

如何测试HTTPS页面优化结果
下面,我们来看一下如何测试HTTPS页面优化结果
1) 点击进入压测大师产品首页(http://wetest.qq.com/gaps/ )开通项目,创建测试,点击进入URL测试。名称和描述可以自己填写。(图中示例起始人数50人,每隔60秒增加50人,加到200人为上限)

点击左侧“HTTP直压“进入压测

输入合适的测试标题和测试设置
(此图为动图,横屏观看效果更佳)

2)新建一个客户端请求,接口压测包括读写接口,读接口基本是GET请求,写接口基本是POST请求。GET请求使用url请求参数,填写测试用例的基础数值,选择正确的URL

配置页面header信息

3) 随后进行Header的配置,Header的名称在选定URL的内,打开URL的链接(推荐使用chrome浏览器),敲击F12并刷新页面,选定Network-Name-Headers-Request Headers(Header的名称与值均在内查看,如下图所示)

查看页面header信息

到这里,基本就完成了对https的配置过程了,是不是很简单?下面动图可以再回顾一下操作的流程:

gif动态图展示操作的流程
(此图为动图,横屏观看效果更佳)

WeTest压测大师运用了沉淀十多年的内部实践经验总结,通过基于真实业务场景和用户行为进行压力测试,帮助游戏开发者发现服务器端的性能瓶颈,进行针对性的性能调优,降低服务器采购和维护成本,提高用户留存和转化率。

功能目前免费对外开放中,点击http://wetest.qq.com/gaps 即可体验!
如果对使用当中有任何疑问,欢迎联系腾讯WeTest企业qq:800024531

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容