图 4-6

Certificate Revocation

不重要。忽略

TLS Record Protocol

不同于IP 或者 TCP协议， 在TLS会话中的全部数据交换都是由TSL Record协议负责。 该协议须要负责识别不同类型的消息（握手信息，警告，数据）， 并校对每个信息的完整性。

图 4-8 TLS record  结构

传递应用程序的数据的流程例如以下：

• Record  协议获得应用程序的数据
• 对接收到的数据进行分块： 最大为2的14次 bytes 或者16KB一个记录
• 应用数据能够选择压缩
• Message autentication code(MAC) 或 HMAC。 加入消息的校验码
• 使用协商好的加密算法，对数据进行加密

完毕以上步聚， 被加密的数据就会向下传入TCP层，进行传输。 在接收端， 则是相反的过程。

这个过程看起来非常easy。但须要注间几个地方：

• TLS record 最大为16KB
• 每个记录会包括 5-byte header,   一个MAC (SSLv3, TLS1.0, TLS1.1 为 20 bytes, TLS 1.2 须要32字节）， 假设使用了块分组password， 还须要把password加上。

• 为了解密和校对record, 整个record 必须有效。

为你的应用程序挑选出最佳的record 的大小。对性能的优化非常重要，小的records 会导致非常大的开销,  然而大的records 会被TCP又一次进行组装

优化TLS

TLS的优化主要是配置你的server，比方TLS records 的大小。 内存缓冲区， 证书的大小， 是否支持简短的握手等等， 通过对这些參数的正确配置，会明显改善用户体验，减少操作开销。

计算开销

建立和维护一个加密的通道。在连接的两端都会引入额外的计算开销， 特别是在TLS握手时使用公共密钥加密对称密钥。 当连接建立之后，能够使用对称password加密全部的TLS records.

我们之前说过， 使用公钥加密 对照 对称密钥加密 会导致非常大的计算开销。 早先的站点通常须要额外的硬件来完毕 SSl计算。

但如今的硬件的性能有非常大的提升。都能直接完毕
但对于TLS Session 的恢复。 还是能够降低使用公钥加密。 除低计算的开销。

提前终止

 无论是新建还是重用一个连接，都会有延迟的发生。 对于优化来说。 连接的建立是一个重要的区域。

  我们看看一个TLS连接有哪些: TCP 三次握手， 之后是TLS握手， 添加两个RTT时间(新建)。

或者一个RTT（重用）。

在最坏的情况下，数据交换之前， TCP 和 TLS连接的设置过程就将花费三个 RTT.  以我们之前New York到London的样例， 一个RTT 时间为56ms, 那么新建一个TLS 将花费168ms, 而重用一个将花费112ms.  

由于TLS是执行在TCP之上。所以对TCP的优化。也适用于这里。 通过CDN将server位置到离client近期的地方，减小RTT的值。

CDN不仅能够优化静态资源。你也能够应用动态内容上，提前终止TLS 会话。 如图 4-9所看到的，在本地代理server上，建立与client的连接（加速完毕握手），代理server与原始server之间建立一个长久(没有握手。仅仅负责数据传送)，加密的连接。

这样全部的请求和响应都是从原server获取

图4-9 提前终止client连接

要做到这一点非常easy，非常多CDN都提供这种服务。 你也喜欢冒险。也能够以最小的花费搭建自己的基础设施： 在全球各地的数据中心部署云server，并配置代理server，将请求转发到你的原始server中。

并能够增加基于地理位置的DNS 负载均衡。

Session Caching and Stateless Resumption

了解概念就可以

假设一个记录刚好能够装入一个 TCP数据包， 我们还须要加入IP 和 TCP的信息， 比方 IP会有20字节的头部信息， TCP也会有20字节的头部信息。

终于， 每个记录大概会加入60-100字节的头部信息。

电路中一个标准的最大传输单位(MTU) 大小是1500 字节。 数据包的结构就占领了 6% 的大小(overhead，在计算机网络的帧结构中，除了实用数据以外，还有非常多控制信息，这些控制信息用来保证通信的完毕。

这些控制信息被称作系统开销).

但是，简单的添加记录的值，使它达到最大同意传递的16KB, 这也不是一个非常好的方法。 假设一个record 非常大，它会被分装进多个TCP 数据包。 则TLS的还有一端必须等待全部的TCP包到达之后才干够对数据进行解码（如图4-10)。

 假设某些TCP数据包丢失， 还须要重传， 造成额外的延迟。

在实际中， 这样的延迟对于浏览器造成非常大的延迟,  还不如对数据一个字节一个字节的传递， 这样还可能会更快。

对应的，传送可用数据越少意味着传送的数据要很多其它的数据包。

这还意味着完毕传输数据须要额外的时间。

假设是大的records 又会引发延迟的发生。   这里非常难找到一个“正确” 的 record大小。   还好。浏览器会自己主动将web应用程序的值，设置为TCP MSS的大小，即records 值为 一个MSS(1460 bytes). 这种个TCP数据包传递一个record。 这样一个record就能够分配到多个TCP 数中包其中。

通过下面的方式。我们能计算出一个最佳的record：

• 电路中传输的数据包， 会包括IPv4 20bytes 地址， 假设是IPv6会是40 bytes
• TCP 会有20 bytes头部信息
• 40 个字节的TCP 可选信息， 比方 timestamps, SACKs

MTU通用的大小为1500 bytes,  那么在IPv4中 TLS record 大小就是1420 （1500- IP 20 – TCP 20 – TCP Option 40), 而对于IPv6,这个大小为1400.   为了兼容未来。 所以最佳的值为1400.

而是须要通过server级别的配置，详细方法，须要查看server系统文档。

假设你的server须要处理大量的TLS 连接，则须要为每一个连接分配最小的内存使用。

OpenSSL 一般会为每一个连接分配50KB 的内存， 但正如调整record 大小一样，不妨查看OpenSSL 的文档。 Google的server能常将OpenSSL的值设置为5KB.

TLS 压缩

TLS 内部通过 record协议。 支持对传输的数据进行无损压缩： 压缩的算法是通过握手协议。两方协商好的。 压缩会发生在对每条record 加密之前。

但通常，你要禁止server的压TLS 压缩功能， 有下面几个原因:

• 在2012年。 黑客利用过TLS 压缩获得加密认证的cookie,  这就同意黑客运行会劫持， 这样的功能方法叫作”CRIME”
• 传输级别上的TLS 不知道要压缩的内容是什么，可能会压缩已经压缩过的数据，比方，图片，视频

两次的压缩，会浪费server和client的CPU,  并且导致非常严重的安全问题， 尽管非常多的浏览器禁用了TLS 压缩。但为了更好的保护你的客户。 你须要明白的禁止server压缩.

认证链长度

浏览器验证证书的过程是： 从站点的证书開始， 在遍历父证书。 直到信任的根文件夹( 证书是分级的，全球。 国家， 省份).  因此。第一条优化的原则是，在server上配置全部的中级证书。 假设忘记了， 那么很多浏览器依旧能够工作，可是它会暂停。 等待， 并向中间证书的server。 获取中间证书。 然后继续验证。直至根文件夹信任的证书。 这过程中会有新的DNS 查询， TCP连接。 和 HTTP GET请求。 会有数百毫秒的握手延迟。

但是浏览器怎么知道怎样获取中间证书的呢？ 每个子证书通常都包括了父证书的URL

相反的， 你必须在你的信任链里不会包括不是必需的证书， 或者通俗点说， 你应该降低信任链的大小。

回顾一下。 server在TLS 握手期间。 会向client发送证书， 非常有可能证书的发送是在发生在新TCP连接的slow-start 阶段。

假设证书链的大小超过了TCP 初始 cwnd 的大小， 则仅仅能先发送一部份（TCP cwnd大小）。 等待client的 ACK后，在发送剩下的部分， 这就会导致多个RTT时间。

如图 4-11

图4-11 WireShack 软件截图 TLS 证书链的大小为 5, 323-byte

图4-11中， 证书链超过了5KB的大小，它超过了一些的老的server的拥塞窗体的大小。这就在握手阶段引入了其他RTT的大小。

有一个解决方式是添加初始的拥塞窗体的大小。 能够查看 “Increasing TCP’s Initial Congestion Window ”  原书 26页。

另外。 你也能够降低证书的大小：

• 减小认证的层级， 理想的是仅仅包括你自己的证书和中间人证书，第三个证书就是根文件夹证书（浏览器已经信任， 不须要在发送）
• 不要发送root 证书， 假设你的浏览器连root证书都没有，那么你发了，它也会不信任它
• 将证书链的大小减小到  2 KB 或 者3KB, 尽管为浏览器提供全部必要的证书，能够避免浏览器自己发起新的连接，获取中间代理人证书。从而引发不必要的RTT.  但这可能也就发生一次，而过大的证书会导致每一次新的TLS连接，有会有额外的RTT， 这样的性能损失更大

OCSP 装订

针对OCSP的优化， 每个新的TLS连接都须要浏览器检測认证链。但有一个步聚我们不能忘记， 那就是浏览器还须要检測证书是否被呆销，在这里，浏览器有两个方法，一个是下载CRL文件而且缓存。 另一个就是通过OCSP进行实时的检測， 从认证中心的server获取响应。 并使用认证中心的公开对响应进行加密。

以证实证书是否吊销。所以我们能够在server 发送一个请求到认证中心的响应，而且把它包括（装订）到认识链中（部分浏览器能够识别）。 这样我们自己的server就能够缓存被签名过的OCSP响应。能够节省多个client的额外请求。 但这里也须要注意一些问题：

• OCSP的大小从400到 4000不等。 装订到你的认证链中， 可能会超过你TCP拥塞窗体的大小
• 仅仅能装订一个OCSP响应。 那么对于中间（发证中心）的证书，浏览器还是会发送OCSP请求。

近期。你须要在配置server。同意有OCSP装订的功能。 好的消息是，主流的server。 比方Nginx, Apache, IIS是有这个功能的。 你能够查看这些server的文档说明。

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security  是一个安全策略机制， 它同意server通过简单的HTTP 头， 比方 Strict-Transport-Security: max-age = 3153600. 向顺从的浏览器（知道这类http头的浏览器) 声明訪问规则。

这条规则表示，client必须强制运行下面规则：

• 全部到初始请求，都必须使用HTTPS
• 全部不安全的连接 和client请求，在请求发送之前。 应该自己主动转化为 HTTPS
• 假设发生认识错误， 显示错误信息， 而且不同意绕过吃警告
• max-age 表明 HSTS规则的有效期， 单位为秒

HSTS 不仅能够将原始连接转变为 HTTPS,  还能够保护应程序。 在性能上, 能够减小从 HTTP-to-HTTS的跳转（301 或者302）。

 在2013年时。 支持HSTS的浏览器有 Firefox 4+, Chrome 4+, Opera 12+  以及Android 版的Chrome 和 Firefox. 最新的了解能够查看 caniuse.com/stricttransportsecurity.

TLS 性能检測清单

• 优化TCP, 能够查看 “Optimizing for TCP” 在原书第32
• 升级TLS 库到最新的版本号
• 同意并配置 TLS session 的缓存 和 无状态重用
• 监測你的TLS session 缓存命中率， 并调整对应的配置
• 使用CDN。 在client近期的寺方， 提前终止 TLS  sesion, 减少往返导致的延迟
• 配置TLS record 的大小。以适应单个TCP段的大小, 1400 bytes
• 确保你的认证不会超过初始化拥塞窗体的大小， 低于 2 or 3KB
• 从认证链中删除不是必需的证书， 减小认证链的深度
• 禁用server的TLS 压缩
• 配置你的server，以支持SNI,  域名识别
• 配置OCSP 装订功能
• 加入  HTTP Strict Transport Security header

測试和检验

最后， 检验和測试你的配置。 你能够使用在线的服务， 比方 Qualys SSL Server Test 扫描你公开的server的通用配置 和安全缺陷。  另外，你也能够使用 openssl 命令， 它将帮助你检验整个握手过程和本地的server配置

$> openssl s_client -state -CAfile startssl.ca.crt -connect igvita.com:443
CONNECTED(00000003)
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=2 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing
/CN=StartCom Certification Authority
verify return:1
depth=1 /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
verify return:1
depth=0 /description=ABjQuqt3nPv7ebEG/C=US
/CN=www.igvita.com/emailAddress=ilya@igvita.com
verify return:1
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
---
Certificate chain
0 s:/description=ABjQuqt3nPv7ebEG/C=US
/CN=www.igvita.com/emailAddress=ilya@igvita.com
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
1 s:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing
/CN=StartCom Class 1 Primary Intermediate Server CA
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing
/CN=StartCom Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
... snip ...
---
No client certificate CA names sent
---
SSL handshake has read 3571 bytes and written 444 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-SHA
Session-ID: 269349C84A4702EFA7 ...
Session-ID-ctx:
Master-Key: 1F5F5F33D50BE6228A ...
Key-Arg : None
Start Time: 1354037095
Timeout : 300 (sec)
Verify return code: 0 (ok)

1.  client完毕 认证链的验证
2.  接收到认证链（两个证书）
3. 接收到的认证链的大小
4.  有状态的TLS session 标识符

在此之样例中， 我们通过TLS的默认port(443) 连接到 igvita.com ， 并运行TLS 握手。 因为 s_client 不清楚root证书，我们须要手动将 StartSSL Certifiecate Authority 导入到根文件夹（很重要的一步） ， 否则 s_client 会看到一个校验失败的错误日志。

检測证书链的过程中，我们看到server发送了两个证书。 总的大小为3,571 bytes, 这是进军 3 至 4 分割 （TCP 老server初始拥塞窗口的大小 4 分割) 。终于， 我们检测磋商 SSL 变量 – 最新的协议。 加密演算法 ， 对称密钥 – 我们也可以看到server发送一斤session 马克。