Завершение SSL на уровне Cloudflare. Получу ли я прирост производительности?

Cloudflare не только оскорблять rs SSL, но также и HTTP / 2, работающий в сочетании с SSL. Это то, что обеспечивает ускорение, особенно если вы можете кэшировать большую часть контента сайта (статические файлы, файлы изображений и т. Д.). Я несколько удивлен, что другие комментаторы здесь даже не упомянули HTTP / 2, поскольку он вносит различные улучшения в протокол HTTP.

Поэтому я бы сказал, что - если вы можете обновить свой веб-сервер для поддержки HTTPS + HTTP / 2 (последний версии Nginx, я думаю, Apache может справиться с соответствующим надстройкой модуля), это на самом деле будет основным улучшением, которое поможет любому ускорению. Если вы не можете поддерживать HTTP / 2,Следующий вариант - завершение SSL-соединения Cloudflare с их поддержкой HTTP / 2. И если вы хотите / можете запускать как , это Cloudflare HTTPS + HTTP / 2 termination, так и HTTPS + HTTP / 2 между ними и вашим источником, сайт будет чрезвычайно быстрым и отзывчивый. Я сам заметил это после переключения одного из моих сайтов на полный конвейер HTTPS + HTTP / 2, и он заметно быстрее загружается, в первую очередь из-за улучшений, которые HTTP / 2 вносит в таблицу.

Учитывая, что вы говорите о статическом содержимом, я не думаю, что имеет смысл снижать безопасность для случаев холодного кеширования только для удаления подтверждения SSL. Очевидно, что у вас будут правильные заголовки для управления кешем, и вы некоторое время будете кэшировать этот контент.

Я также хотел бы предостеречь от любой микрооптимизации, которая пытается отключить шифрование между краем и источником для динамического контента, чтобы удалить RTT или 2. Cloudflare уже может оптимизировать это довольно много и поддерживать соединение с источником открытым для период времени, отсекающий квитирование SSL, увеличение размера окна перегрузки и т. д.

Если вы говорите на уровне сети, явно не достойный прирост, как уже отмечалось в других комментариях.

Но в случае, когда ЦП является проблемой на исходном сервере, это может быть идеей, потому что SSL-установка контента действительно требует дополнительных затрат ЦП (скажем, около 20%). Но если у вас нет проблем с процессором в источнике, это не сильно сэкономит и, следовательно, не стоит того.

Конечно, есть улучшения в согласовании TLS, согласовывая его ближе к пользователю. Согласование TLS по-прежнему представляет собой набор пакетов, который происходит до того, как будет отправлен первый байт фактических данных, поэтому его приближение к пользователю ускоряет установление сеанса. Это просто базовая скорость света - чем меньше физическое расстояние должны пройти пакеты, при прочих равных, тем быстрее они будут.

Вопрос в том, действительно ли это имеет значение? Вам должно быть все равно? В случае Stack Overflow мы устанавливаем тысячи пользовательских TLS-подключений в минуту, поэтому, когда вы складываете миллионы TLS-сеансов за 24 часа, на счету каждая миллисекунда.

Однако, если вы получаете всего несколько обращений в час, есть не очень большой совокупный выигрыш для установления сеанса за счет перемещения SSL в ваш CDN.

Что касается подключений из CDN обратно к источнику, CloudFlare должен использовать те же несколько сеансов (от каждого PoP), поэтому он не будет быть восстановленным от имени клиентов. У CloudFlare был (может быть, они все еще есть?) Есть ускоритель WAN под названием « Railgun », что делает завершение TLS на CDN еще более рискованным.

Однако я бы дважды подумал, чтобы отключить Lets Encrypt. о вашем происхождении. Вероятно, вы все еще хотите использовать шифрование между CloudFlare и локальным веб-сервером. Это не повлияет на производительность, и, таким образом, вы по-прежнему останетесь без отслеживания от Cloudflare до источника.