我正在尝试决定是否将SSL用于Web应用程序。 它不处理信用卡或财务数据,但它存储的信息应该是私人/社会的原因。 也有通常的用户注册和loginfunction,可能应该保护。
我知道SSL会有一些性能下降,因为服务器和客户端都有encryption和解密。 另外,据我所知,encryption的数据不会压缩太多,所以Apache的mod_deflate可能不会工作。
performance可能有多大? 我打算做一些testing,但是我会对任何基于经验的评论感兴趣。
PKI开销在每个连接上都有显着的性能影响。 使用对称密钥的实际数据传输的开销相对较小。 精确的比率和成本取决于您的特定硬件/软件堆栈。
一般来说,传输大量数据的开销很小, 做很多小连接的开销(例如https很多小图片)要大得多。 你可以select一个页面的一部分来保护,它不一定是全部或没有。
做你的testing和基准testing,我怀疑你会发现,整体性能的影响是小的,可以容忍的。
如果您担心业绩,那么SSL应该只是您的总体战略的一部分。 我pipe理了一些财富5公司的几个网站,每天看到数以百万计的点击和数以千计的独特访客,我们不使用任何SSL卸载。 我们发现,我们大多数的加载问题都集中在我们使用的代码库和第三方库(主要是.NET,Java)上。
因此,如果您担心SSL负载,请不要担心,除非您也担心其他方面的问题,例如您在处理繁重stream量情况下的代码性能问题。 而这里的加载真的意味着内存足迹和CPU …很容易修复stream量负载; 这些其他的负载大部分是重要的或首先发挥作用的。
是的,这确实会导致一定程度的负载,值得卸载到安装了SSL模块的负载均衡器。 然而,如果您必须使用服务器,那么在您处理任何敏感数据时,所创build的任何负载都是值得的,尽pipe个人信息是否被认为是敏感的是一个不同的问题(除了login,社交networking不倾向于使用https) 。
尝试ab通过HTTP vs HTTPS 进行压力testing以查看差异,并且确保只在vhost.conf 443部分中启用mod_ssl等
encryption的数据不会压缩太多
SSL有其自己的压缩协议 ,您可以监视的客户端使用。 要提高请求的速度,请务必使用SSL会话caching
会有轻微的性能下降,这就是为什么大多数网站通常只需要在注册和login表单上使用SSL来确保数据安全发送,然后在没有SSL的情况下恢复浏览。