返回 登录
3

Qzone高性能HTTPS实践

阅读5272

原文链接:http://wetest.qq.com/lab/view/313.html
商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。


WeTest导读

自从去年QQ空间移动端页面开始切换到HTTPS之后,页面性能遇到了比较大的挑战,HTTPS对页面访问速度带来了比较大的影响,所以我们通过实践总结了一些能够提升HTTPS页面访问速度的方法,这些数据都是我们和STGW的同事反复实验、多次分析所得到的,希望能够减少大家对于全站启用HTTPS的顾虑。我们的目的是,在不影响用户体验的情况下,竭尽全力保护用户的信息安全!


页面在切到HTTPS之前,iOS的访问速度约为1795ms,切到HTTPS之后,iOS的访问速度直接飙到2630ms,我的天呐,上涨了900ms,接近50%,吓得我赶紧把入口又切回了HTTP。之后,便开始踏上了提升HTTPS访问速度的道路。(文章里的数据以iOS为例,访问速度指的是页面html开始请求到页面js执行完毕的耗时)。先简单以图示总结下我们优化的结论:

图片描述

使用SPDY协议是我们优化的第一步,SPDY(speedy)是Google很早就提出的协议,通过多路复用、请求优先级以及HTTP报头压缩,来提升页面的访问速度。但是公司貌似没有一个统一的平台支持SPDY,在寻求了TEG小伙伴的帮助之后,他们首次支持了SPDY。SPDY在iOS的兼容性比较好,iOS 8.0以上的safari和webview都支持,覆盖了Qzone 85%以上的iOS用户。所以决定开启HTTPS+SPDY试试效果。开启SPDY之后的页面访问速度提升了370ms,已经非常不错了。(在SPDY的兼容性上,iOS大部分都支持了,而安卓tbs内核支持SPDY的版本也正在灰度当中,全量之后预计也能覆盖80%的Qzone用户。)

根据第一次SPDY的尝试,HTTPS的访问速度有了300多毫秒的提升,但跟HTTP相比差距还是有400ms的差距,分析了一下,这400ms的差距主要是来自于SSL握手的耗时,根据SPDY协议,每个域名建立一个TCP连接,各自要进行一次SSL握手,每次耗时约200ms,页面一共有两个关键域名,所以HTTPS+SPDY一共比HTTP慢了400ms。根据这个分析结果,我们也有了进一步的优化方向,那就是减少SSL的耗时。

减少SSL握手的耗时,可以有三个方式:

(1)提升TCP连接的复用率;

(2)提升SSL session的复用率;

(3)减少页面上的域名。

对于提升TCP连接的复用率,我们想了一个方法,在页面的入口处预建了一个连接,在用户点击入口之前,先向h5.qzone.qq.com(页面的域名)发起一个https请求,可以请求一个返回内容为空的url。同时,服务器端要开启keep alive, keep alive的时间也并不是越长越好,我们使用的是60秒。这个预建的连接,不止减少了SSL握手的耗时,实际上同时也节省了TCP建立连接的时间。根据我们的实践数据,在预建连接之后,页面的访问速度又提升了400ms。其中,TCP连接复用的命中率大约是75%。

对于提升SSL session 复用率,需要服务器端支持session ticket或者session cache,目前我们的STGW是支持了分布式session cache和全局session ticket key。需要说明一下的是,如果我们前面做了预建连接,复用了TCP连接的请求不会再发生SSL握手,也就不需要session复用。不过还是分享下我们SSL session复用的实践数据。SSL session复用对大部分安卓用户的提升非常明显,可以把SSL握手耗时从之前的400ms优化到100多ms。而对于iOS,由于本身机器性能更好,SSL 握手时间的耗时本身就比安卓用户少,从之前的200ms优化到100ms,提升了50%,并且iOS由于不支持session ticket,只能使用session cache,复用率比较低。SSL seesion总体的复用率大约是40%。

对于减少页面上的域名,前面说到页面有两个关键域名,一个是h5.qzone.qq.com,一个是cdn域名qzonestyle.gtimg.cn。每个域名的SSL握手各多耗时200ms,所以另一个优化的方式就是域名收归,把页面收归到只有一个域名,减少一次SSL握手的耗时。于是我们把页面上qzonestyle.gtimg.cn的js通过代理的方式也收归到h5.qzone.qq.com,使这个页面只有一个关键域名,而h5.qzone.qq.com在入口页面已经做了预建连接,最大程度减少了TCP和SSL的时间。域名收归后,页面的访问速度提升了200ms。这种代理收归的方式,也有另一个好处,Qzone由于业务复杂,域名非常多,通过中间层代理收归域名,再转发到各个业务,这样切换HTTPS对各个业务都是透明的,可以说大大降低了我们全站切换到HTTPS的开发成本。

推荐使用的TLS协议和cipher suite,在协议和算法层面,我们也做了一些统计来进行对比。在HTTPS握手过程中记录协议类型、加密套件、握手时间,并且将上述内容返回给页面。页面在记录用户的访问速度之后,上报数据的同时,把上述的协议类型等数据也一同上报。

图片描述

从上表可以看出来,TLS1.2协议的性能要明显优于1.1和1.0。Cipher suite 方面,ECDHE-RSA-AES128-GCM-SHA256和ECDHE-RSA-AES128-SHA256性能最好。ECDHE-RSA-CHACHA20-POLY1305理论上讲对性能提升有较大帮助,但是由于iOS不支持该类算法,所以从数据样本上无法体现优势。除了上面所列出来的,后续我们依然会进行协议和算法层面的更多性能分析和优化,包括TCP参数调优,握手过程优化,SSL record size适配等。

做了以上这些优化之后,HTTPS的页面访问速度提升了1000+ms,相比HTTP,差距已经非常小了。由于TCP复用,甚至比之前的访问速度还要快。同时,我们还在马不停蹄地做更多的尝试,比如开始写这篇文章的时候还在用SPDY,写到结尾的时候我们已经启用了HTTP/2(喂,难道不是因为作者是拖延症患者吗?!)亲,你还有什么理由再不启用HTTPS?

如何测试HTTPS页面优化结果

下面,我们来看一下如何测试HTTPS页面优化结果

1) 点击进入压测大师产品首页(http://wetest.qq.com/gaps/ )开通项目,创建测试,点击进入URL测试。名称和描述可以自己填写。(图中示例起始人数50人,每隔60秒增加50人,加到200人为上限)
图片描述

图片描述

图片描述

输入合适的测试标题和测试设置

(此图为动图,横屏观看效果更佳)

2)新建一个客户端请求,接口压测包括读写接口,读接口基本是GET请求,写接口基本是POST请求。GET请求使用url请求参数,填写测试用例的基础数值,选择正确的URL

图片描述

配置页面header信息

3) 随后进行Header的配置,Header的名称在选定URL的内,打开URL的链接(推荐使用chrome浏览器),敲击F12并刷新页面,选定Network-Name-Headers-Request Headers(Header的名称与值均在内查看,如下图所示)

图片描述

查看页面header信息

到这里,基本就完成了对https的配置过程了,是不是很简单?下面动图可以再回顾一下操作的流程:

图片描述
gif动态图展示操作的流程

(此图为动图,横屏观看效果更佳)


WeTest压测大师运用了沉淀十多年的内部实践经验总结,通过基于真实业务场景和用户行为进行压力测试,帮助游戏开发者发现服务器端的性能瓶颈,进行针对性的性能调优,降低服务器采购和维护成本,提高用户留存和转化率。

功能目前免费对外开放中,点击http://wetest.qq.com/gaps 即可体验!

如果对使用当中有任何疑问,欢迎联系腾讯WeTest企业qq:800024531

评论