优化SSL/TLS证书大小减少HTTPS带宽

一个朋友遇到移动端数据打点业务请求量大,都是短连接,单个请求的响应数据很小(响应个OK就行)。遇到带宽打爆的情况,以前用HTTP时还好,现在移动端要求必须提供HTTPS。

诊断

证书占用了 4.3 KB,传输了包括用户证书和 ICA 证书共 3 张。

image-20200519132537747

优化方案

从证书和协议入手,这里主要是证书和证书链占用太多。

image-20200519141639415

优化后效果明显

阿里云 SLB

缩短证书链

选择合适的可信证书,缩短到2级证书链。

换ECC证书

RSA 2048 位证书,换更高安全性体积更小的 ECDSA 256 位证书,目前ECC证书的兼容性没什么问题了。

证书兼容性测试报告参考:https://myssl.com/yryz.net

FireShot Capture 031 - yryz.net - SSL_TLS安全评估报告 - myssl.com

开启TLS1.3

可以让部分较新的客户端减少握手次数。

TLS 1.3握手节省了整个往返时间和数百毫秒。与TLS 1.2握手相比有了重大改进。您可能会倾向于说这没有差别或差别很小,但没有!延迟半秒钟会导致流量下降20%!