阿里云 CDN HTTPS 最佳实践——TLS record size

简介: 阿里云CDN HTTPS最佳实践系列文章,由CDN高防技术专家金九撰写

TLS 协议由两层协议组成:TLS 握手协议和 TLS 记录协议(TLS Record),TLS Record 协议在 TLS 握手协议之下。下面是 SSL/TLS 的分层结构:

https5_1

所有的 TLS 上层数据(包含 TLS 握手协议消息以及更上层的应用协议数据)都由 TLS Record 来封装和传输。下面是 TLS Record 协议的消息封装流程:

https5_2

一个消息会在 TLS Record 协议层被分段,然后对每个分段分别压缩(已废弃)和加密,最后加上 TLS Record 协议头再通过网络层发送出去,在 Wireshark 中可以看到:

https5_3

可以看出 TLS/SSL 数据加解密是基于分段的,接收方收到一个完整的分段就可以解密,如果分段过大,那接收方必须要等到接收完整个分段的数据才能解密,当网络不好出现丢包、拥塞、重传等等情况下会严重影响时延,如果分段过小,头部负载比重就会较大,影响吞吐率。所以,怎么分段就比较关键,也就是 TLS Record Size 大小多少合适。这就涉及到两个重要的指标:时延和吞吐率。

  1. 如果 TLS Record Size 设置较大
    假如超过了 MTU,一个分段会被 TCP 层再次分段,拆分成多个包发送,那么时延也相应地增大,但由于记录协议头占比很小,吞吐率也增大。
  2. 如果 TLS Record Size 设置较小
    一个分段在 TCP 层没有被再次分段,由一个包发送出去,时延会比较小,但吞吐率也会下降。

所以,对时延敏感的域名,TLS Record Size 建议设置为略小于 MTU 的大小(粗算:MTU - TLS Record Header Length - TCP Header Length - IP Header Length)。对吞吐率敏感的域名,TLS Record Size 建议设置为 16k(上限)。如果同时兼顾时延和吞吐率的话,建议设置为 8k (经验值)。

但是,TCP 有拥塞控制机制,在 TCP 连接刚开始的慢启动阶段,拥塞窗口会比较小,这时较大的 TLS Record Size 会导致 TLS Record 片段被 TCP 分成多个包来发送,从而导致时延较大,可能就会影响网页的首屏时间。在整个 TCP 数据传输过程中,可能启动拥塞避免算法,也可能遇到数据丢失和重传的情况,然后又重新进入慢启动阶段。

因此,更好的做法是动态调整 TLS Record Size 的大小,而不是使用固定的值。在 TCP 连接初期使用较小的值,等传输速度上来之后再使用更大的值。

目录
相关文章
|
5天前
|
缓存 编解码 弹性计算
使用阿里云CDN与传统网站有什么区别?
阿里云CDN通过全球缓存节点与负载均衡技术,实现用户就近访问,大幅提升网站响应速度,解决网络拥堵问题。相比传统直连源站,CDN将静态资源分发至边缘节点,结合OSS、ECS等服务,广泛应用于网站加速、视音频点播、直播及移动APP内容分发,显著优化用户体验。
|
4天前
|
边缘计算 网络安全 CDN
阿里云CDN服务的优劣势分析
阿里云CDN依托全球50+节点,提供高速、稳定、安全的内容分发服务,支持智能调度、灵活配置与DDoS防护,助力企业提升海外访问体验。虽价格略高,功能相对集中,但仍是全球化业务优选的可靠加速方案。
|
8天前
|
CDN
阿里云CDN收费标准,不同计费模式价格表(基础服务费和增值服务费用整理)
阿里云CDN费用包含基础服务费和增值服务费。基础费用按流量、带宽峰值或月结95带宽计费,默认按流量计费;增值服务如HTTPS、QUIC、WAF、实时日志等按使用量收费,不使用不收费。支持资源包抵扣,降低成本。
122 3
|
5月前
|
边缘计算 安全 算法
阿里云CDN:构建全球化智能加速网络的数字高速公路
阿里云CDN构建全球化智能加速网络,拥有2800多个边缘节点覆盖67个国家,实现毫秒级网络延迟。其三级节点拓扑结构与智能路由系统,结合流量预测模型,确保高命中率。全栈式加速技术包括QUIC协议优化和Brotli压缩算法,保障安全与性能。五层防御机制有效抵御攻击,行业解决方案涵盖视频、物联网及游戏等领域,支持新兴AR/VR与元宇宙需求,持续推动数字内容分发技术边界。
385 13
|
5月前
|
CDN
阿里云CDN价格表:不知道CDN怎么收费?新手秒懂百科
阿里云CDN收费包括基础费用和增值费用。基础费用提供三种计费方式:按流量、带宽峰值及月结95带宽峰值, 默认按流量计费,价格因地区和用量而异;用户也可购买流量资源包抵扣费用。增值服务如HTTPS、QUIC、WAF及实时日志等按需收费,不使用则不收费。阿小云整理了2025年最新标准,详情参见阿里云官网。
|
7月前
|
安全 算法 网络协议
解析:HTTPS通过SSL/TLS证书加密的原理与逻辑
HTTPS通过SSL/TLS证书加密,结合对称与非对称加密及数字证书验证实现安全通信。首先,服务器发送含公钥的数字证书,客户端验证其合法性后生成随机数并用公钥加密发送给服务器,双方据此生成相同的对称密钥。后续通信使用对称加密确保高效性和安全性。同时,数字证书验证服务器身份,防止中间人攻击;哈希算法和数字签名确保数据完整性,防止篡改。整个流程保障了身份认证、数据加密和完整性保护。
|
8月前
|
CDN
阿里云CDN收费标准,不同计费模式价格表(基础服务费和增值服务费用整理)
阿里云CDN的计费包括基础费用和增值费用。基础费用有三种计费方式:按流量、带宽峰值和月结95带宽峰值,默认按流量计费。增值服务如HTTPS、QUIC、WAF和实时日志等,使用才收费。详细价格和规则请参考阿里云官网。
1009 118
|
5月前
|
CDN
阿里云CDN怎么收费?看这一篇就够了,CDN不同计费模式收费价格全解析
阿里云CDN收费包含基础费用与增值费用。基础费用提供三种计费模式:按流量、带宽峰值及月结95带宽峰值计费,默认按流量计费,价格因地域和用量阶梯而异。增值费用涵盖静态HTTPS、QUIC请求、WAF防护及实时日志等服务,按需使用并单独计费。此外,可通过购买资源包预付费降低整体成本。更多详情参见阿里云官方文档。
1614 8
|
6月前
|
缓存 边缘计算 安全
阿里云CDN:全球加速网络的实践创新与价值解析
在数字化浪潮下,用户体验成为企业竞争力的核心。阿里云CDN凭借技术创新与全球化布局,提供高效稳定的加速解决方案。其三层优化体系(智能调度、缓存策略、安全防护)确保低延迟和高命中率,覆盖2800+全球节点,支持电商、教育、游戏等行业,帮助企业节省带宽成本,提升加载速度和安全性。未来,阿里云CDN将继续引领内容分发的行业标准。
389 7
|
7月前
|
开发者 CDN
阿里云CDN边缘脚本示例实现/?p123重定向/p/123.html
本文介绍了如何通过EdgeScript实现URL重定向,将`http://www.example.com/?p123`重定向到`http://www.example.com/p/123.html`。使用捕获请求URI中的参数并进行重写,具体代码和内置变量参考阿里云CDN开发者文档。示例代码展示了关键的实现步骤。
124 8