【专家坐堂】全站 HTTPS——如何规划、部署、优化？（获奖名单已公布）

haishui

现在IOS 都要求了。

c3po

Godbach 发表于 2016-11-28 18:49
回复 2# GB_juno

是的。我之前了解的数据，也差不多是 1/10 的样子。

请教大佬，是降了十分之一还是降到十分之一？
我用Nginx也在愁这个事情，还没机会大规模测试验证。

Godbach

c3po 发表于 2016-12-07 09:13
请教大佬，是降了十分之一还是降到十分之一？
我用Nginx也在愁这个事情，还没机会大规模测试验证。

加密这么耗性能的，如果只损失十分之一的性能，那么又安全又好用，谁还不用呢。

cjfeii

我们的https改造，就是在原来的http服务器上加一个https的代理  ~~

lnwu

弱弱的问下：
前端一个公网IP，安装haproxy，haproxy使用的http模式，配置多个域名分别指向后端不同的服务器。
启用HTTPS的话，证书放在前端服务器，从haproxy到后端只能走http，不能走HTTPS对吗？
这种情况下怎么实现从haproxy到后端服务器这最后一公里实现全加密走HTTPS？

感觉要实现从haproxy到后端服务器走HTTPS的话就得使用tcp模式，但是tcp模式又不能判断域名从而
转发到不同的后端服务器。

想不明白这个改如何解决。
看到网上说有的网站有两级反向代理，Nginx+haproxy+server的，那种环境多域名一个的话怎样实现全
走https的呢？

Godbach

回复 35# lnwu

从haproxy到后端只能走http，不能走HTTPS对吗？

不是的。作为一个七层 proxy，client->proxy 以及 proxy->server 是可以各自配置各自的 SSL 逻辑。HAProxy 是完全支持的。

Godbach

回复 35# lnwu

感觉要实现从haproxy到后端服务器走HTTPS的话就得使用tcp模式，但是tcp模式又不能判断域名从而
转发到不同的后端服务器。

HAProxy 到后端是可以配置为 http 模式，并且把 SSL 启用起来。其实 HAProxy 作为 client，也就是要加载好 server 端证书的 CA 就行了，这样可以验证 server 的证书。

c3po

Godbach 发表于 2016-12-07 09:54
加密这么耗性能的，如果只损失十分之一的性能，那么又安全又好用，谁还不用呢。

我心里也是这么猜的，被大佬挑明了好桑心啊。鱼和熊掌我都好咋办

c3po

回复 35# lnwu

我们在实践中一般不采用软式多级反代，只要条件允许，建议客户在公网入口部署有HA/LB能力的硬件，在四层向后面两个nginx分发，各个Nginx上再跑七层向后端分发，Nginx上面可以做很多逻辑控制。当然以上前提都是木有跑https，这个时候Linux/Freebsd下的Nginx接入能力超级强大足够为众多的后端应用服务器做代理。
现在大佬说了上https以后缩水90%的接入性能，就不知道咋办鸟。
以上是我这的经验希望对你有点用

ccjsj1

1.网站改造 HTTPS 过程中跳过的坑或者要注意的问题
目前的http还没改造成https，公司有这个计划了，真的改造起来不知道会遇到什末坑呢。

2.影响甚至导致无法全站 HTTPS 的痛点或者障碍
https是无法被缓存的觉得是个问题，干的活多了cpu消耗增大了。

3.证书申请以及私钥管理上的一些注意事项
证书的私钥文件要保管好，只对涉及的运维和开发人员放开。传输过程中要文件和密码分开途径传输，避免泄漏。

4.部署 HTTPS 后，优化手段、遇到的问题以及解决方法
使用的证书是等级较低的，证书链不完整的话，会被当非法站点，需要重新签。

5.负载均衡下或者 CDN 中部署 HTTPS 的一些经验
使用单独的证书和独立域名，避免同域下的浏览器加载并发限制等问题。