Cloudfront HTTPS 性能优化

HTTP/2

相比廉颇老矣的 HTTP/1.x，HTTP/2 在底层传输做了很大的改动和优化包括有：

1. 每个服务器只用一个连接，节省多次建立连接的时间，在TLS上效果尤为明显
2. 加速 TLS 交付，HTTP/2 只耗时一次 TLS 握手，通过一个连接上的多路利用实现最佳性能
3. 更安全，通过减少 TLS 的性能损失，让更多应用使用 TLS，从而让用户信息更安全

HTTP/2 现在已经获得了绝大多数的现代浏览器的支持 参考： https://aws.amazon.com/cn/about-aws/whats-new/2016/09/amazon-cloudfront-now-supports-http2/ https://aws.amazon.com/cn/blogs/aws/new-http2-support-for-cloudfront/

TLS 1.3

和 HTTP/1.x 一样，目前受到主流支持的 TLS 协议版本是 1.1 和 1.2，分别发布于 2006年和2008年，也都已经落后于时代的需 求了。在2018年8月份，IETF终于宣布TLS 1.3规范正式发布了，标准规范（Standards Track）定义在 rfc8446 。 TLS 1.3 相较之前版本的优化内容有：

1. 握手时间：同等情况下，TLSv1.3 比 TLSv1.2 少一个 RTT
2. 应用数据：在会话复用场景下，支持 0-RTT 发送应用数据
3. 握手消息：从 ServerHello 之后都是密文。
4. 会话复用机制：弃用了 Session ID 方式的会话复用，采用 PSK 机制的会话复用。
5. 密钥算法：TLSv1.3 只支持 PFS （即完全前向安全）的密钥交换算法，禁用 RSA 这种密钥交换算法。对称密钥算法只采用 AEAD 类型的加密算法，禁用CBC 模式的 AES、RC4 算法。
6. 密钥导出算法：TLSv1.3 使用新设计的叫做 HKDF 的算法，而 TLSv1.2 是使用PRF算法，稍后我们再来看看这两种算法的 差别。

参考： https://aws.amazon.com/cn/about-aws/whats-new/2020/09/cloudfront-tlsv1-3-support/

Brotli

Brotli 是由 Google 于 2015 年 9 月推出的无损压缩算法，它通过用变种的 LZ77 算法，Huffman 编码和二阶文本建模进行数据 压缩，是一种压缩比很高的压缩方法。 根据Google 发布的研究报告，Brotli 具有如下特点：

1. 针对常见的 Web 资源内容，Brotli 的性能要比 Gzip 好 17-25%；
2. Brotli 压缩级别为 1 时，压缩速度是最快的，而且此时压缩率比 gzip 压缩等级为 9（最高）时还要高；
3. 在处理不同 HTML 文档时，brotli 依然提供了非常高的压缩率；

在兼容 GZIP 的同时，相较 GZIP： 4. JavaScript 上缩小 14% 5. HTML上缩小 21% 6. CSS上缩小 17%

Brotli 的支持必须依赖 HTTPS，不过换句话说就是只有在 HTTPS 下才能实现 Brotli。 参考： https://aws.amazon.com/cn/about-aws/whats-new/2020/09/cloudfront-brotli-compression/

ECC证书

椭圆曲线密码学（Elliptic curve cryptography，缩写为ECC），一种建立公开金钥加密的算法，基于椭圆曲线数学。椭圆曲线在 密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。 内置 ECDSA 公钥的证书一般被称之为 ECC 证书，内置 RSA 公钥的证书就是 RSA 证书。由于 256 位 ECC Key 在安全性上等同于 3072 位 RSA Key，加上 ECC 运算速度更快，ECDHE 密钥交换 + ECDSA 数字签名无疑是最好的选择。由于同等安全条件下， ECC 算法所需的 Key 更短，所以 ECC 证书文件体积比 RSA 证书要小一些。 ECC 证书不仅仅可以用于 HTTPS 场景当中，理论上可以代替所有 RSA 证书的应用场景，如 SSH 密钥登陆、SMTP 的 TLS 发件 等。 参考： https://aws.amazon.com/cn/blogs/networking-and-content-delivery/cloudfront-now-supports-ecdsa-certificates-forhttps- connections-to-origins/