4、HTTPS的支持率分析

分析了百度服务器端一百万的无线访问日志(主要为手机和平板电脑的浏览器)，得出协议和握手时间的关系如下：

 

从上表可以发现，ssl3.0速度最慢，不过支持率非常低。tls 1.0支持率最广泛。

加密套件和握手时间的关系如下：

 

显然DHE对速度的影响比较大，ECDHE的性能确实要好出很多，而AES128-GCM对速度也有一点提升。

通过tcpdump分析client hello请求，发现有56.53%的请求发送了session id。也就意味着这些请求都能通过session cache得到复用。其他的一些扩展属性支持率如下：

 

这几个扩展都非常有意义，解释如下：

server_name，，即 sni (server name indicator)，有77%的请求会在client hello里面携带想要访问的域名，允许服务端使用一个IP支持多个域名。

next_protocol_negotiation，即NPN，意味着有40.54%的客户端支持spdy.

session_tickets只有38.6%的支持率，比较低。这也是我们为什么会修改nginx主干代码实现session cache多机共享机制的原因。

elliptic_curves即是之前介绍的ECC(椭圆曲线系列算法)，能够使用更小KEY长度实现DH同样级别的安全，极大提升运算性能。

　　5、结论

现在互联网上HTTPS的中文资料相对较少，同时由于HTTPS涉及到大量协议、密码学及PKI体系的知识，学习门槛相对较高。另外在具体的实践过程中还有很多坑和待持续改进的地方。希望本文对大家有一些帮助，同时由于我本人在很多地方掌握得也比较粗浅，一知半解，希望大家能多提意见，共同进步。

最后，为了防止流量劫持，保护用户隐私，大家都使用HTTPS吧，全网站支持。事实上，HTTPS并没有那么难用和可怕，只是你没有好好优化。

(责任编辑：安博涛)