如何优化你的 HTTPS

通过http2_push指令配置

这种情况下，demo.html需要用到的资源style.css、image1.jpg和image2.jpg被推送到客户端。资源少的情况下，我们可以这么使用，但是资源多的情况下这种方式就不太现实。

自动将资源推送给客户端

nginx支持拦截link预加载头的约定，推送这写头中标识的资源，需要在配置中启动预加载，配置http2_push_preload on

这里也有一个问题，一般的静态资源，我们都会设置缓存有效期。当客户端资源在缓存有效期内的时候，我们强制推送静态资源，只会增加服务器带宽的压力，所以我们需要指定客户端是否需要这些资源，并且不太可能已经缓存过，可能的方法，就是客户端在首次访问时服务端推送，并在随后的访问请求中包含cookie，服务端通过cookie去判断是否进行推送，就是有选择的向客户端推送资源，配置方法如下：

测试如下：

TLS 1.3

TLS(Transport Layer Security Protocol，传输层安全协议)主要目的是提供隐私和数据亮哥通信应用之间的完整性。该协议由两层组成：TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。

TLS协议经过很多次版本的更新，目前低版本的TLS，如SSL 3.0/TLS 1.0等，存在许多严重漏洞，目前受到主流支持的TLS协议版本是1.1和1.2，但也都已经落后于时代的需求。在2018年8月份，IETF终于宣布TLS 1.3规范正式发布了，标准规范定义在rfc8446。

相较于之前的版本TLS优化内容有：

• 相比过去的的版本，引入了新的密钥协商机制 — PSK
• 支持 0-RTT 数据传输，在建立连接时节省了往返时间
• 废弃了 3DES、RC4、AES-CBC 等加密组件，废弃了 SHA1、MD5 等哈希算法
• ServerHello 之后的所有握手消息采取了加密操作，可见明文大大减少
• 不再允许对加密报文进行压缩、不再允许双方发起重协商
• DSA 证书不再允许在 TLS 1.3 中使用

在https中，每个连接的TLS的握手是很消耗资源及时间的，所以TLS 1.3的优化，比之前的版本建立连接的时间少了一个RTT，同等情况下，节省了很多时间，提高了响应速度。

TLS 1.3需要openssl 1.1.1支持，在nginx上，需要nginx 1.13+支持。

在编译nginx的时候，需要添加编译参数--with-openssl-opt=enable-tls1_3来开启TLS 1.3支持，并在配置中ssl_protocols中添加TLSv1.3，对应的TLS1.3引入了新的算法，所以ssl_ciphers也需要添加新算法

默认情况下nginx因为安全原因，没有开启TLS 1.3的 0-RTT，可以通过指令ssl_early_data on来开启。

ECC

ECC(Elliptic curve cryptography，椭圆曲线密码学)，一种建立公开密钥的算法，基于椭圆曲线数学。

内置ECDSA公钥的证书一般称为ECC证书，内置RSA公钥的证书一般称为RSA证书。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!