SSL/TLS深度解析--TLS性能優化

TCP 優化

Linux系統內核參數優化

[root@www ~]# cat /etc/redhat-release;uname -r
CentOS Linux release 7.5.1804 (Core) 
3.10.0-862.11.6.el7.x86_64

TLS 的下一層是 TCP 協議,因此對 TCP 的優化是能夠直接影響到 TLS 的性能效率。

在對 TCP 的優化中,主要涉及如下幾個概念:

(1)擁塞控制(congestion control)機制:在一個 TCP 鏈接開始時,不知道對方的速度有多快。若是有足夠大的帶寬,服務器端能夠用最快的速度傳送數據,可是若是對方的網絡很慢,服務器發送的數據太多的話,會壓跨鏈接,致使鏈接中斷。因此,每一個 TCP 鏈接都有一個稱爲擁塞窗口(cwnd = congestion window)的速度極限。這個窗口最初較小,在通訊的過程當中,若是雙方都能接受這個速度,那麼會加大這個擁塞窗口的值(初期增加很快,翻倍增加),這種機制被叫作慢啓動(slow start)。

擁塞控制機制對於 TLS 鏈接的影響比較大,TLS 握手消耗了寶貴的初始鏈接字節(當擁塞窗口較小時);若是擁塞窗口足夠大,那麼慢啓動不會有額外的延遲。可是,若是握手消息長度超過了擁塞窗口大小,發送方將必須把這個長信息拆分紅兩塊,先發送一塊,等待確認(1個往返),增長擁塞窗口,而後再發送剩下的部分。這樣就增長了由 TLS 握手形成的延時。

(2) 慢啓動閾值 ssthresh(避免 cwnd 增加過快,網絡沒法承擔,形成丟包)

若是 cwnd 小於 ssthresh,表示在慢啓動階段,cwnd是翻倍增加的;若是 cwnd 大於 ssthresh,那麼表示在擁塞避免階段,這時候 cwnd 再也不像慢啓動階段那樣翻倍增加,而是線性增加,儘可能避免網絡擁塞。

(3) 接收窗口(rwnd),用來表示最多能保存多少數據,實際中接收窗口rwnd的合理值取決於BDP的大小,也就是帶寬和延遲的乘積。若是帶寬是 80Mbps,延遲是 100ms,那麼計算過程以下:

BDP = 80Mbps 100ms = (80 / 8) (100 / 1000) = 1MB = 1024KB = 1048576B

TCP 用16位來記錄窗口大小,也就是說最大值是64KB,若是超過這個值,就須要 tcp_window_scaling 機制(默認是開啓)。配置內核參數中接收緩衝的大小,就能夠控制接收窗口的大小:

net.ipv4.tcp_rmem = <MIN> <DEFAULT> <MAX>

Linux自己有一個緩衝大小自動調優的機制,窗口的實際大小會自動在最小值和最大值之間變化,找到性能和資源的平衡點。確認緩衝大小自動調優機制(0:關閉、1:開啓):sysctl -a | grep tcp_moderate_rcvbuf。若是緩衝大小自動調優機制設置成關閉狀態,那麼就把緩衝的 DEFAULT 值設置爲 BDP;若是緩衝大小自動調優機制設置成開啓狀態,那麼就把緩衝的 MAX 設置爲 BDP。

(4) 存儲 TCP 鏈接自己一些信息的額外開銷:net.ipv4.tcp_adv_win_scale 的值多是 1 或者 2,若是是 1 的話,則表示二分之一的緩衝被用來作額外開銷,若是是 2 的話,則表示四分之一的緩衝被用來作額外開銷。按照這個邏輯,緩衝最終的合理值的具體計算方法以下:result=BDP / (1 – 1 / 2^tcp_adv_win_scale)。

(5) 空閒鏈接回到慢啓動:慢啓動在一段時間內沒有任何流量的鏈接上起做用,達到下降速度的效果,而且速度降低很是快。所謂的「一段時間」能夠是很是小的,好比1秒鐘,但在實際場景中,每個長鏈接(例如使用 HTTP 長鏈接)的速度都有可能被調到很慢!爲了保持速度建議禁用這個功能。

在 Linux 上,能夠在鏈接空閒時禁用慢啓動: 0表示否,1表示開啓慢啓動,默認是1

能夠經過一下命令使其臨時生效,但重啓之後就失效了,查看:sysctl -a | gerp slow_start_after_idle

臨時:sysctl -w net.ipv4.tcp_slow_start_after_idle=0

永久生效:將 net.ipv4.tcp_slow_start_after_idle=0 設置添加到 /etc/sysctl.conf 配置文件中。

對擁塞窗口(cwnd)初始值調優:

啓動速度限制被稱爲初始擁塞窗口(initial congestion window, initcwnd )。2013年4月發佈的 RFC6928,google 建議默認狀況下初始擁塞窗口設置爲10個 MSS(約15 KB)。【Centos 7默認是10MSS】早期的建議是使用2或4個MSS(約3—6KB)。MSS 是 TCP 層上的概念,大小是 1460 字節。IP 層上是 MTU,1500字節。

[root@www ~]# sysctl -a |grep ssthresh
net.ipv4.tcp_max_ssthresh = 0   #在虛擬機中
[root@www ~]# sysctl -a |grep tcp_window_scaling
net.ipv4.tcp_window_scaling = 1
[root@www ~]# cat /proc/sys/net/ipv4/tcp_rmem    # rwnd值
4096    87380   6291456
[root@www ~]# sysctl -a |grep tcp_moderate_rcvbuf        
net.ipv4.tcp_moderate_rcvbuf = 1
[root@www ~]# sysctl -a |grep adv_win_scale
net.ipv4.tcp_adv_win_scale = 1
[root@www ~]# sysctl -a |grep start_after_idle
net.ipv4.tcp_slow_start_after_idle = 1

# 設置cwnd
[root@www ~]# ip route
default via 172.16.216.2 dev ens33 
169.254.0.0/16 dev ens33 scope link metric 1002 
172.16.216.0/24 dev ens33 proto kernel scope link src 172.16.216.188 
[root@www ~]# ip route | while read p; do ip route change $p initcwnd 10; done
[root@www ~]# ip route
default via 172.16.216.2 dev ens33 initcwnd 10 
169.254.0.0/16 dev ens33 scope link metric 1002 initcwnd 10 
172.16.216.0/24 dev ens33 proto kernel scope link src 172.16.216.188 initcwnd 10
# initcwnd 10:初始化cwnd
# 單方面提高發送端 cwnd 的大小並不必定有效,由於網絡中實際傳輸的未經確認的數據大小取決於  rwnd 和 cwnd 中的最小值,因此一旦接收方的 rwnd 比較小的話,會抑制 cwnd 的發揮。

# 設置initrwnd(linux kernel 2.6.33 and newer)
[root@www ~]# ip route
default via 172.16.216.2 dev ens33 
169.254.0.0/16 dev ens33 scope link metric 1002 
172.16.216.0/24 dev ens33 proto kernel scope link src 172.16.216.188 
[root@www ~]# ip route | while read p; do ip route change $p initrwnd 10; done 
[root@www ~]# ip route
default via 172.16.216.2 dev ens33 initrwnd 10 
169.254.0.0/16 dev ens33 scope link metric 1002 initrwnd 10 
172.16.216.0/24 dev ens33 proto kernel scope link src 172.16.216.188 initrwnd 10 

# 一些系統的rwnd值:
# Linux 2.6.32                                      3*MSS (usually 4380)
# Linux 3.0.0                                       10*MSS (usually 14600)
# Windows NT 6.1    (Windows 7 or Server 2008 R2)   8192 ^ 2
  • 優化 tcp time_wait ,減小time_wait 狀態的鏈接。主動關閉的一方會出現time_wait狀態。

    time_wait 狀態的鏈接要等待2個 MSL 的時間纔會 close,會佔用資源,儘可能避免鏈接進入 time_wait 狀態。linux 裏 MSL通常是30秒,2 個MSL 是1分鐘,這個數值是硬編碼在內核中的,除非從新編譯內核,不然無法修改。注:MSL最長報文生命週期:Maximum Segment Lifetime,MSL 。

    修改 fin_wait2 的值,減小 fin_wait2 的等待時間,超時之後會回收鏈接。

    開啓長鏈接:絕大可能是瀏覽器在開啓長鏈接的狀況下,接收到服務器斷開鏈接的fin之後,會恢復一個 ack;而不會不發送本身這一端的 fin ,這樣服務器一端就會等待 fin_timeout 時間後,回收鏈接。

    若不開啓長鏈接,服務器端關閉連接之後,連接的狀態會從 fin_wait2 轉換到 time_wait 。

    還能夠考慮促使客戶端關閉連接,配置 keepalive_timeout 20s 10s; (nginx 配置),使客戶端的超時小於服務器端,瀏覽器會先關閉連接,這樣time_wait 狀態就會在客戶端,不過經過實驗看出只有火狐瀏覽器支持,狐火瀏覽器會識別 Keep-Alive: timeout=time 這個參數,而別的瀏覽器不會。

    不要設置回收 recycle=1 和 重用 reuse=1,NAT模式下會形成鏈接失敗( SYN 包不會被響應)

    time_wait 狀態的鏈接被重用(reuse)的條件是以下2個之一:

    1)初始序列號比time_wait狀態的老鏈接最末的序列號大。

    2)若是使用時間戳,那麼新到來的鏈接的時間戳比老鏈接的時間戳大。

    tcp_tw_reuse和tcp_tw_recycle要生效,必須 tcp_timestamps 是開啓的,默認也是開啓的。

  • 參數優化

    net.ipv4.tcp_max_syn_backlog = 1024 #SYN隊列的長度,默認是1024,加大隊列到8192或更大,可緩存更多等待的網絡鏈接。

    net.ipv4.tcp_max_tw_buckets = 180000 #保存 TIME_WAIT 狀態的套接字的最大數量,一旦超過這個數,TIME_WAIT套接字將馬上被清除,併發出警告。

    net.ipv4.ip_local_port_range = 1024 65535 # 向外鏈接的端口範圍。缺省值:32768到61000,能夠擴大 1024 到 65535。

    net.ipv4.tcp_syncookies = 1 #開啓SYN Cookies,SYN等待隊列溢出時,使用cookies來處理,可防範少許SYN***。

    net.ipv4.tcp_retries2 = 15 #TCP失敗重傳的次數 ,默認15 ,能夠調小一些,例如5。

    還能夠配置用於 TCP/IP 連接所使用的內存,配置總內存的話,單位是「頁」 ,具體的一個頁的大小能夠經過 getconf PAGE_SIZE 這個命令獲取;讀寫所佔用的內存單位是字節。

[root@www ~]# getconf PAGE_SIZE
4096

總內存

net.ipv4.tcp_mem = 93408 124544 186816

寫(緩衝)

net.ipv4.tcp_wmem = 4096 16384 3985408

讀(緩存)

net.ipv4.tcp_rmem = 4096 87380 3985408

[root@www ~]# cd /proc/sys/net/ipv4
[root@www ipv4]# cat tcp_fin_timeout 
60
[root@www ~]# sysctl -a |grep timestamps
net.ipv4.tcp_timestamps = 1

initcwnd

ip-sysctl

SSL/TLS深度解析--TLS性能優化

TLS 協議優化

  • 對TLS協議進行安全和速度調優

    1.密鑰交換

    使用TLS最大的成本除了延遲之外(多了2次往返),就是用於安全參數協商的CPU密集型操做,也就是密鑰交換(key exchange)。密鑰交換的CPU消耗很大程度上取決於服務器選擇的私鑰算法、密鑰長度和密鑰交換算法。

    破解密鑰的難度取決於密鑰的長度,密鑰越長越安全。可是也要考慮加密與解密所消耗的計算資源。目前有兩種私鑰算法可使用:RSA和ECDSA。

    如今RSA算法的密鑰仍然大量存在,即便使用它進行密鑰交換的時候不支持前向加密。可是RSA仍是能夠用在身份認證上,當前RSA密鑰算法推薦最小長度2048位,而且考慮升級到3072位(雖然升級後效率降低較多),隨着RSA密鑰的增加它開始變得愈來愈慢。ECDSA會快不少,愈來愈多的站點支持ECDSA,中等長度256位的ECDSA提供與3072位RSA同樣的安全性,卻有更好的性能。

    推薦優先使用:ECDSA256_ECDHE256 與 RSA2048_ECDHE256 。

    SSL/TLS深度解析--TLS性能優化

    2. 證書

  • 證書鏈

    a、TLS握手的時候,服務器端會把證書鏈發送給客戶端進行驗證。

    b、證書鏈儘量短。

    c、證書鏈要完整。

    d、儘可能使用橢圓曲線證書鏈。

  • 證書吊銷檢查與OCSP服務

    雖然證書吊銷狀態在不斷變化,而且客戶端(瀏覽器)對如何檢查證書吊銷差別很大,但做爲服務器端,要作到儘量快的傳遞吊銷信息。

  • 使用帶OCSP信息的證書。

    OCSP被設計用於提供實時查詢,容許客戶端訪問吊銷信息。所以查詢簡短而快速(1個HTTP請求)。相比之下CRL是一個包含大量被吊銷證書的列表。一些客戶端只有當OCSP信息不可用的時候才下載CRL,在下載CRL的時候瀏覽器與服務器端的通訊將暫停,直到CRL下載完成,所消耗的時間可能會有幾十秒。

  • 選擇具備快速且可靠的OCSP響應程序的CA

    不一樣CA之間的OCSP響應速度也不一樣。緩慢和錯誤的OCSP響應程序會潛在地致使性能降低。在決定使用OCSP響應以後,要考察CA對OCSP響應的性能與正確性。另外一個選擇CA的標準是看更新OCSP響應的速度,最好本身的證書一經頒發就加入到OCSP響應程序中,一旦出了安全隱患被吊銷,OCSP響應也能迅速的更新。

[root@www ~]# openssl s_client -connect www.openssl.org:443 -status |grep -i ocsp
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

SSL/TLS深度解析--TLS性能優化

3. 會話恢復

TLS理解兩種類型的握手:完整握手和簡短握手。理論上完整握手只會在客戶端與服務器創建TLS會話(TLS session)的時候進行一次。後續的鏈接,雙方使用簡短握手恢復以前協商的會話。簡短握手由於不須要密鑰交換與密鑰生成等操做,因此會更快,而且少一次往返時間。

4.TLS的紀錄協議形成的在網絡傳輸中的額外開銷

TLS協議的最小傳輸單位是一個TLS記錄,它最多能夠包含2^14=16384字節(16K)的數據。一條記錄在不加密的狀況下只有很小的開銷;每一個記錄以5字節的元數據開頭,即內容類型(1字節)、協議版本(2字節)和數據長度(2字節)。流加密、分組加密和已驗證密碼套件加密後的TLS記錄的額外開銷。

SSL/TLS深度解析--TLS性能優化

儘可能避免發送小包數據。儘可能緩衝應用層數據避免額外的網絡開銷。

5.對稱加密對CPU資源的消耗

加密操做有明顯的CPU成本,成本由加密算法、加密模式和完整性校驗算法三者決定。

6. TLS 記錄的緩存延遲

TLS記錄是TLS發送和接收數據的最小單位。TLS記錄的大小與下一層TCP包的大小並不匹配,一個全尺寸的TLS記錄16 KB須要被拆分紅許多小的TCP包(大約12個),一般每一個小於1.5 KB(1.3KB)。整個TLS記錄被分紅小的TCP包後,各個小包會陸續到達,但在所有到齊以前是沒法進行解密處理的。這是由於TLS記錄一樣是數據解密和完整性檢驗的最小單位。緩存延遲有時可能會比較大。

雖然經過TCP協議能夠把丟失和延遲的數據包恢復,但仍然須要消耗一次往返。每一次額外的往返對於整個TLS記錄都意味着延遲。 初始擁塞窗口另外一個觸發額外往返的延遲是在鏈接初期發送大量數據致使初始擁塞窗口溢出。一旦擁塞窗口滿了,發送端必須等待響應(1次往返),等到擁塞窗口增長再發送更多數據。

若是Web服務器支持TLS記錄調整,就應該考慮將默認值(16 KB這麼大的數值)改爲更爲合理的值,調整這個值由部署的密碼套件和相應的傳輸開銷決定,通常狀況下設置成4 KB。若是將TLS記錄大小設置爲與TCP/IP包準確匹配,那就設置成1400字節左右,而後經過觀察數據包逐步調整。IP報文理論上最大是65535個字節,是很大的,可是因爲IP分片效果很很差,因此TCP在三次握手中互相得知對方的MSS(MTU減IP頭部),不給IP層很大塊的數據,避免IP數據報分片

例如,數據鏈路層最大傳輸單元(maximum transfer unit,MTU)是1500字節,那麼能夠預見:

1,500 bytes MTU 去除額外開銷,所傳數據 1379 —1419 bytes 。

-20 bytes IPv4 herder | - 40 bytes IPv6 header

- 32 bytes TCP header TCP 頭部 最小是20字節可拓展的是40字節,最大爲60字節

- 29 bytes TLS record | - 49 bytes TLS record


MSS 是1460 bytes :1460 - 32 - 29|49 = 1379 — 1399 bytes

首先MTU的值是變化的。雖然多數客戶端繼承以太網1500字節的限制,但也有一些協議支持更大的數據。好比,巨型幀(jumbo frame)容許多達9000字節。還有就是使用IPv4和IPv6(IPv4頭是20字節,IPv6頭是40字節)計算會略有不一樣,所密碼套件的變化也會影響這個數值。

另外一個問題是減少TLS記錄的大小會增長傳輸開銷,也就是吞吐量會降低。若是將TLS記錄長度調大(最大16K),那麼因爲是加密的數據,得要全部的數據(全部的IP包)都到齊了,纔會順利的解密出明文,等待的時間會較長,吞吐率是上去了,響應的實時性就降低了。nginx上也有配置這個值的選項,只是不能動態調整。

相關文章
相關標籤/搜索