背景:根据客服对用户信息的反馈,部分IOS启动app很慢甚至超时,而安卓并无异常。
排查步骤
- 1.查看nginx的错误日志和服务端的处理日志,并没有发现异常超时的记录;
- 2.通过还原用户使用场景,用户发送请求到服务器接收到请求,产生了6-10s的延迟,这个直接导致ios 触发原定的3s超时;
- 3.了解到用户并非出于网络较差环境,或者使用科学上网,于是将问题定位到https验证;
- 4.因为ios为了促进app审查,使用了https来与服务器通信,而安卓则是跳过验证,这点坐实了https验证的问题。
解决思路
-
1.检查https证书是否过期,发现各项证书均在有效期内;
-
2.通过ssllab.com测试域名的各项指标,发现TLS只支持到v1.0-v1.2,v1.3并无支持,而v1.3在验证速度上比历史版本块,其中原因v1.3引入以下特性,速度有很大提升:
- 相比过去的的版本,引入了新的密钥协商机制 — PSK
- 支持 0-RTT 数据传输,在建立连接时节省了往返时间
- 废弃了 3DES、RC4、AES-CBC 等加密组件,废弃了 SHA1、MD5 等哈希算法
- ServerHello 之后的所有握手消息采取了加密操作,可见明文大大减少
- 不再允许对加密报文进行压缩、不再允许双方发起重协商
- DSA 证书不再允许在 TLS 1.3 中使用
-
3.开启OCSP(Online Certificate Status Protocal), 在nginx的server{}配置中增加以下配置
- ssl_stapling on;
- ssl_stapling_verify on;
- ssl_trusted_certificate /etc/letsencrypt/live/xxx.xxx.com/fullchain.pem;
- resolver 8.8.8.8 8.8.4.4 1.1.1.1 valid=60s;
- resolver_timeout 2s;
然后重启nginx,在ssllab.com验证,OCSP stapling YES。
-
4.之后验证https速度和http差不多了