V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rori
V2EX  ›  问与答

不同厂商 SSl 之间速度有差异?

  •  
  •   rori · 2016-02-04 12:18:22 +08:00 · 3216 次点击
    这是一个创建于 3215 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比较好奇,比如 comodo 的 ssl 就比喔通的慢?
    对这方面完全不知道,提问的方法也不知道对否。
    请大牛指教

    另外,添加 ssl 比不添加网站访问速度似乎变慢

    https://blog.rori.tv/ comodod 的 ssl 访问觉得变慢

    http://club.rori.tv/ 无 ssl , u 不管首页还是内容页很多内容也不觉得很慢。

    请指教

    21 条回复    2016-02-13 13:45:37 +08:00
    publicID002
        1
    publicID002  
       2016-02-04 12:33:41 +08:00 via Android
    首先吐槽下标题大小写。。。
    主要原因应该是 CRL 服务器, comodo 在国外,所以你在国内可能感觉慢点,另外还有证书链和算法的关系。
    arfaWong
        2
    arfaWong  
       2016-02-04 12:45:57 +08:00 via Android
    并不觉得第一个慢
    rori
        3
    rori  
    OP
       2016-02-04 12:49:40 +08:00
    @publicID002 强迫症。。。
    @arfaWong 觉得加载没有第二个快
    neilp
        4
    neilp  
       2016-02-04 13:09:36 +08:00
    本来握手就慢, 主要是 证书链太长, 大于 mtu , 要来回几次传输 证书握手包。 增加负担。
    qgy18
        5
    qgy18  
       2016-02-04 13:18:36 +08:00 via iPhone
    HTTPS 网站确实更慢,因为多了 TLS 层。
    HTTPS 网站优化一般分为两部分,围绕 TLS 和围绕应用层协议,如 HTTP/2 。
    https://imququ.com/post/optimize-tls-handshake.html
    Slienc7
        6
    Slienc7  
       2016-02-04 13:26:18 +08:00
    很多人都手动吊销了 WoSign 的根证书,别考虑了。

    其他浏览器不清楚,不过我记得 Chrome 默认是通过自己的 CRLSet 给用户下发的吊销列表,不会直接从 根 CA 提供的 CRL 读取。
    然后还和服务器配置导致的握手次数有关,还和 OCSP (如果开启了)有关,证书链长短也会影响速度。
    gamexg
        7
    gamexg  
       2016-02-04 13:33:37 +08:00 via Android
    证书链长度,服务器需要将证书链发送给客户端。
    ttbt
        8
    ttbt  
       2016-02-04 13:51:02 +08:00
    @qgy18 wordpress 全文搜索 能用你博客推荐的 Elasticsearch ?
    rori
        9
    rori  
    OP
       2016-02-04 13:52:28 +08:00
    @xgowex WoSign 出现过什么问题吗?
    @gamexg
    @neilp 那么证书链少的就会快?
    Hello1995
        10
    Hello1995  
       2016-02-04 13:57:10 +08:00 via Android
    @xgowex 曾手动吊销 WoSign 和 CNNIC 的报到 :P
    Slienc7
        11
    Slienc7  
       2016-02-04 14:01:08 +08:00
    @rori
    1.很多人觉得国内证书权威都不可信;
    2.主要原因是 WoSign 业务人员某一段时间在 V2EX 等社区进行了恶心的病毒式推广;
    3.还有诸如 WoSign 违反规定在自家网站的 EV 证书里添加具有诱导性的词语(这个问题被投诉到 Mozilla 社区之后,现在 WoSign 没这么干了)等问题。

    单从证书链长短角度来看,证书链短一点理所当然要快一点;但是这个下载时间本身也没多长;还得考虑到其他因素。
    xiaozhizhu1997
        12
    xiaozhizhu1997  
       2016-02-04 14:47:07 +08:00 via Android
    上面那些说证书链的。
    你的浏览器都是存储了大多数的根证书的,不用现下载整个证书链。
    rori
        13
    rori  
    OP
       2016-02-04 16:07:35 +08:00
    @xgowex 国外月亮圆?还是国人问题?
    @xiaozhizhu1997 纠结用 https 是否对未来有利
    shyling
        14
    shyling  
       2016-02-04 17:15:42 +08:00 via iPad
    1 ,证书链的长度。(有的中间证书还是要从服务器下载的)
    2 ,你在使用 ssl 证书时使用的:
    非对称的算法,位数:rsa2048 位 4096 位等等, ecc256 位, 384 位...
    对称算法:例如移动端用的 chacha20-ploy1305 。 aes 之类的差别
    honeycomb
        15
    honeycomb  
       2016-02-04 18:18:11 +08:00
    @rori wosign 有不信用的记录, CNNIC 已经被全面黑名单
    miyuki
        16
    miyuki  
       2016-02-04 18:53:32 +08:00
    国内的也就那样了

    CNNIC 颁发过假证书用于 MITM 攻击, WoSign 口碑也不咋地,从营销方式到网站文案(用国外证书 = 违法,这种说法也是在他们网站出现过的)
    Quaintjade
        17
    Quaintjade  
       2016-02-04 19:06:24 +08:00 via Android
    影响快慢的最主要因素是 crl 或 ocsp 吧,如果没有用 ocsp stapling 的话
    nvidiaAMD980X
        18
    nvidiaAMD980X  
       2016-02-04 20:36:36 +08:00 via Android
    楼主,支国的 CA 证书你敢用?自从卖书的人神隐后,我连香港的 CA 证书都吊销了……………
    还是用 Symantec 的吧……………
    ________________________________________________
    @miyuki 用国外证书违法?这样的虚假宣传都敢做…………看来支国没救了……………
    wql
        19
    wql  
       2016-02-05 14:22:16 +08:00 via Android
    @nvidiaAMD980X 沃通曾宣传称该公司获得工信部和公安部许可证,称其自己为国内合法 CA 。
    Williamp
        20
    Williamp  
       2016-02-05 19:57:29 +08:00
    @Rori I don't think ssl is the issue for your slow speed site, but yes agree that it will slow your website slightly. It may also happen because of your hosting plan. And if talk about speed ​​ differences between different vendors SSL then it is not the issue.

    Do you have plan to purchase it or have purchased?
    shiji
        21
    shiji  
       2016-02-13 13:45:37 +08:00
    @xiaozhizhu1997 CRL 是一个吊销域名清单,不是 CA 。比如说你偷了腾讯站长的邮箱给 qq 申请了数字证书,(现在私钥当然在你手里), CA 就叫 Geotrust 吧,后来接到了真正站长的邮件,说明了你盗用的情况。 你现在手里有 qq.com 的有效证书和私钥,可以用来监听 /劫持加密流量了。 Geotrust 怎么办呢?吧你那个非法所得的证书的 HASH 存到他们的 CRL 里面,客户访问到你的假的中间人网站,检查 CA 无误,证书无误,下拉 CRL 发现你这个证书在黑名单里面,浏览器马上阻止客户继续浏览(大概就是这么个过程)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2357 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 86ms · UTC 01:52 · PVG 09:52 · LAX 17:52 · JFK 20:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.