我有一個用Delphi編寫的應用程序,它附加了客戶端winhttp.dll,它在服務器端使用mORMot(SOA/ORM客戶端服務器庫,它爲Web服務器功能附加了「http.sys」)。下一步也將是一個用JS編寫的網絡客戶端。http.sys和winhttp.dll有SSL/TLS「會話恢復」和「虛假啓動」?
因此,對於延遲時間大約爲100ms的每個正常連接,包括SSL/TLS握手時間將大於350ms。
我讀到通過「會話恢復」和「虛假開始」(通過重用證書和更快地推送數據)延遲可能是類似< 200毫秒,這對我來說是一個非常大的收益。
所以我的問題是:「http.sys」(服務器)結合「winhttp.dll」(客戶端)可以使用這些進步?如果是,從哪個版本?注意:我認爲,從Win8.1和Win Server 2012開始,這是真的,但我找不到任何文檔,只有> = IIS 8.5會話恢復。
我試圖找到關於此的文檔,它肯定很難得到。 IISpeed.com只是說:
「配置前向祕密密碼以啓用TLS False Start」。 (https://www.iispeed.com/pagespeed/recommendations)
以下是一些可能有所幫助的PowerShell腳本。謹慎使用 - https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
伊利亞·格里戈裏克進入更詳細一點,什麼瀏覽器需要TLS搶跑:
爲了使在所有瀏覽器TLS虛假啓動服務器應該登廣告支持的協議列表通過ALPN擴展 - 例如「h2,http/1.1」 - 並且被配置爲支持和偏好使前向保密的密碼套件。 (https://hpbn.co/transport-layer-security-tls/#deploying-tls-false-start)
經過良好調整的TLS部署應至少增加一個用於協商TLS連接的額外往返,無論它是新的還是恢復的,並避免所有其他延遲缺陷:配置會話恢復並啓用前向保密啓用TLS False Start。 (https://hpbn.co/transport-layer-security-tls/#enable-1-rtt-tls-handshakes)
但是,我還沒有找到一個實施指南,引導您通過www.hass.de上的該頁面以外的分步驟。 (H2包含在Ilya的HTTP標頭推薦中,但對於TLS False Start不是必需的。)
不要忘記優化服務器TLS性能的其他方法。請務必閱讀Ilya的書https://hpbn.co/,或至少閱讀他的清單以利用其他性能收益。 https://hpbn.co/transport-layer-security-tls/#optimizing-for-tls https://hpbn.co/transport-layer-security-tls/#enable-http-strict-transport-security-hsts
我在超過20年曾經使用SSL的每個實施,支持會話恢復,在每個平臺上每一個版本。我不知道'虛假入門'是什麼意思。不清楚你在問什麼。 – EJP
1. false start = [https://tools.ietf.org/html/draft-bmoeller-tls-falsestart-00](https://tools.ietf.org/html/draft-bmoeller-tls-falsestart- 00); 2.會話恢復已添加到版本8.5中的IIS [https://social.technet.microsoft.com/Forums/windows/en-US/f4aee519-d20f-48c3-983a-03732f687d40/configure-iis-85-tls-會話恢復?論壇= winservergen](https://social.technet.microsoft。COM /論壇/窗/ EN-US/f4aee519-d20f-48c3-983a-03732f687d40 /配置-IIS-85-TLS-會話恢復?論壇= winservergen) – emk