HTTPS全站加密时代 网宿推证书优选方案

　　中新网5月16日电 在互联网全站实现HTTPS加密访问的时代，为了在安全加密的基础上提升网站访问性能，网宿科技正式推出“证书优选”方案。该方案可以在保障客户端支持的情况下，提供了对 RSA/ECC 双证书的支持。这项举措，能在所有终端兼容的前提下，将HTTPS访问性能提升30%。

　　众所周知，HTTPS比明文传输的HTTP更安全，并且，随着目前各大网站纷纷开启全站HTTPS， Google、百度、Apple等巨头也在极力推动，HTTPS渐有取代HTTP之势。

　　但是，HTTPS的安全，是以牺牲性能为代价的，网宿工程师曾对相同配置环境和硬件的服务器做过HTTP和HTTPS对比测试，数据表明，HTTPS总体耗时是HTTP的2倍多。

　　据介绍，HTTPS相较于HTTP，增加了SSL握手的阶段。而HTTPS的延迟主要发生在SSL握手阶段，因此，SSL加解密的性能优劣，很大程度上决定了网站的访问速度。在实施SSL加密的过程中，一般会使用到非对称密钥交换和对称内容加密两大算法，其中非对称密钥交换算法主要有RSA、ECC等，对称内容加密算法主要有DES、AES等；使用RSA算法的证书称为RSA证书，使用ECC算法的证书称为ECC证书。

　　当前数字证书普遍采用RSA加密算法，这种加密算法的密钥长度必须是2048位以上，才能在一定程度上维持信息传输的安全性，这对互联网设备的计算能力、内存和带宽都是一大挑战。与此同时，自2014年以来，ECC证书在国外被普通使用，国内从2015年开始接受ECC证书。网宿工程师表示，因抗攻击性强、CPU占用少、内容使用少等优势，ECC加密证书的普及已经是大势所趋。但因为ECC证书更多在移动端使用，目前还在普及过程中。因此，目前RSA及ECC证书同时在使用。

　　在此背景下，网宿科技推出“证书优选”方案，在安全加密的基础上，进一步提升网站的访问性能。

　　该方案提出，针对同一域名，在网宿CDN节点上同时部署 RSA和ECC两份证书文件。网宿CDN节点作为服务端，根据客户端发送的Client Hello中的信息，判断客户端是否支持ECC证书；若支持则返回ECC证书，若不支持则返回RSA证书，并使用相对应的非对称加解密算法完成剩余的握手过程。

　　该方案可以在保障客户端支持的情况下，提供了对 RSA/ECC 双证书的支持。它的实现既能够为大多数的浏览器提供更快、更安全的体验；与之同时，也能够保障老旧的浏览器可以获取RSA证书，具有较好的兼容性。

　　据悉，测试结果显示，在部署证书优选方案之后，SSL握手性能比只用RSA证书的情况提升了30%。

　　除此之外，网宿还通过HSTS协议优化、部署HTTPS加速专用硬件等手段，进一步优化HTTPS的访问性能。