会话恢复的优点在于它基本上是一种免费的捷径。当客户端询问服务器 “我们可以使用之前商定的这些设置吗?”时,它会在设置完整 TLS 握手的第一次往返中这样做。如果服务器同意,那么很好,捷径就被遵循了,不需要进一步的握手。如果出于某种原因,服务器不同意会话恢复请求,TLS 握手将照常继续并在 2 次往返中完成。没有理由不使用会话恢复。
有两种不同的机制来实现 TLS 恢复 塞内加尔电报筛选 第一种是 会话标识符,第二种是会话票证。它们的作用相同。它们之间的区别主要在于哪一方必须跟踪先前商定的选项。所有 Web 浏览器都支持这两种机制,但某些 Web 服务器(如 Microsoft 的 IIS)仅支持会话标识符。会话标识符是一种稍旧的机制,可能会使您的网站遭受拒绝服务攻击。启用会话标识符或会话票证是通过 Web 服务器配置完成的,而且非常容易。请咨询您的管理员以了解如何启用这些选项。
优化清单
在您的 Web 服务器上启用 TLS 恢复。
如果可能的话,请避免使用会话标识符,以减少遭受拒绝服务攻击的风险。
其他 TLS 选项
我们还忽略了其他几个 TLS 选项和细微差别:您应该使用哪种非对称算法?您应该使用哪种密钥交换协议?您应该为对称密码使用多大的密钥大小?您应该使用 完美前向保密吗?从安全角度来看,这些都是重要的决定,每个人的需求都不同。从性能角度来看,这些基本上没有意义。最好将这些选择留给管理您服务器的人,或者遵循上面链接的页面上 Mozilla 的建议。
尽量减少 TLS 握手
正如我们所见,TLS 握手虽然必要,但可能会对您的性能产生影响:
(例如初始 HTML 页面)的下载。
它们可以在单个页面上出现多次。
我们能做的并不多,无法对它们进行优化。