忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT HPC论坛 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
楼主: Godbach

【好书推荐】全站 HTTPS——如何规划、部署、优化?(获奖名单已公布) [复制链接]

论坛徽章:
0
发表于 2016-12-06 16:15 |显示全部楼层
现在IOS 都要求了。

论坛徽章:
1
2015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2016-12-07 09:13 |显示全部楼层
Godbach 发表于 2016-11-28 18:49
回复 2# GB_juno

是的。我之前了解的数据,也差不多是 1/10 的样子。

请教大佬,是降了十分之一还是降到十分之一?
我用Nginx也在愁这个事情,还没机会大规模测试验证。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-12-07 09:54 |显示全部楼层
本帖最后由 Godbach 于 2016-12-07 12:15 编辑
c3po 发表于 2016-12-07 09:13
请教大佬,是降了十分之一还是降到十分之一?
我用Nginx也在愁这个事情,还没机会大规模测试验证。

加密这么耗性能的,如果只损失十分之一的性能,那么又安全又好用,谁还不用呢。
来自安卓客户端来自客户端

论坛徽章:
69
15-16赛季CBA联赛之青岛
日期:2017-05-12 11:03:28数据库技术版块每日发帖之星
日期:2016-07-09 06:20:00操作系统版块每日发帖之星
日期:2016-07-09 06:20:00数据库技术版块每日发帖之星
日期:2016-07-07 06:20:00操作系统版块每日发帖之星
日期:2016-07-07 06:20:00操作系统版块每日发帖之星
日期:2016-07-04 06:20:00数据库技术版块每日发帖之星
日期:2016-07-03 06:20:00操作系统版块每日发帖之星
日期:2016-07-03 06:20:00数据库技术版块每日发帖之星
日期:2016-07-02 06:20:00操作系统版块每日发帖之星
日期:2016-07-02 06:20:00每日论坛发贴之星
日期:2016-07-01 06:20:00操作系统版块每日发帖之星
日期:2016-07-01 06:20:00
发表于 2016-12-07 15:58 |显示全部楼层
我们的https改造,就是在原来的http服务器上加一个https的代理  ~~

论坛徽章:
0
发表于 2016-12-07 16:22 |显示全部楼层
弱弱的问下:
前端一个公网IP,安装haproxy,haproxy使用的http模式,配置多个域名分别指向后端不同的服务器。
启用HTTPS的话,证书放在前端服务器,从haproxy到后端只能走http,不能走HTTPS对吗?
这种情况下怎么实现从haproxy到后端服务器这最后一公里实现全加密走HTTPS?

感觉要实现从haproxy到后端服务器走HTTPS的话就得使用tcp模式,但是tcp模式又不能判断域名从而
转发到不同的后端服务器。

想不明白这个改如何解决。
看到网上说有的网站有两级反向代理,Nginx+haproxy+server的,那种环境多域名一个的话怎样实现全
走https的呢?

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-12-07 19:41 |显示全部楼层
回复 35# lnwu
从haproxy到后端只能走http,不能走HTTPS对吗?
不是的。作为一个七层 proxy,client->proxy 以及 proxy->server 是可以各自配置各自的 SSL 逻辑。HAProxy 是完全支持的。

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2016-12-07 19:44 |显示全部楼层
回复 35# lnwu

感觉要实现从haproxy到后端服务器走HTTPS的话就得使用tcp模式,但是tcp模式又不能判断域名从而
转发到不同的后端服务器。
HAProxy 到后端是可以配置为 http 模式,并且把 SSL 启用起来。其实 HAProxy 作为 client,也就是要加载好 server 端证书的 CA 就行了,这样可以验证 server 的证书。

论坛徽章:
1
2015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2016-12-08 08:48 |显示全部楼层
Godbach 发表于 2016-12-07 09:54
加密这么耗性能的,如果只损失十分之一的性能,那么又安全又好用,谁还不用呢。

我心里也是这么猜的,被大佬挑明了好桑心啊。鱼和熊掌我都好咋办

论坛徽章:
1
2015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2016-12-08 08:58 |显示全部楼层
回复 35# lnwu

我们在实践中一般不采用软式多级反代,只要条件允许,建议客户在公网入口部署有HA/LB能力的硬件,在四层向后面两个nginx分发,各个Nginx上再跑七层向后端分发,Nginx上面可以做很多逻辑控制。当然以上前提都是木有跑https,这个时候Linux/Freebsd下的Nginx接入能力超级强大足够为众多的后端应用服务器做代理。
现在大佬说了上https以后缩水90%的接入性能,就不知道咋办鸟。
以上是我这的经验希望对你有点用

论坛徽章:
16
2015年辞旧岁徽章
日期:2015-03-03 16:54:152017金鸡报晓
日期:2017-01-10 15:19:56JAVA
日期:2016-11-01 13:25:46C
日期:2016-10-25 16:01:4715-16赛季CBA联赛之八一
日期:2016-06-21 23:38:0815-16赛季CBA联赛之山东
日期:2016-05-12 12:49:54IT运维版块每日发帖之星
日期:2016-04-20 06:20:00IT运维版块每日发帖之星
日期:2016-03-22 06:20:00黄金圣斗士
日期:2015-11-24 10:43:13IT运维版块每日发帖之星
日期:2015-08-25 06:20:002015亚冠之德黑兰石油
日期:2015-08-22 22:55:542015亚冠之柏太阳神
日期:2015-08-22 17:18:04
发表于 2016-12-08 20:00 |显示全部楼层
1.网站改造 HTTPS 过程中跳过的坑或者要注意的问题
目前的http还没改造成https,公司有这个计划了,真的改造起来不知道会遇到什末坑呢。

2.影响甚至导致无法全站 HTTPS 的痛点或者障碍
https是无法被缓存的觉得是个问题,干的活多了cpu消耗增大了。

3.证书申请以及私钥管理上的一些注意事项
证书的私钥文件要保管好,只对涉及的运维和开发人员放开。传输过程中要文件和密码分开途径传输,避免泄漏。

4.部署 HTTPS 后,优化手段、遇到的问题以及解决方法
使用的证书是等级较低的,证书链不完整的话,会被当非法站点,需要重新签。

5.负载均衡下或者 CDN 中部署 HTTPS 的一些经验
使用单独的证书和独立域名,避免同域下的浏览器加载并发限制等问题。

评分

参与人数 1可用积分 +6 收起 理由
Godbach + 6 赞一个!

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP