我希望网站的速度尽可能快,并且将使用多个子域来实质上增加浏览器中的并发连接数。
我的问题是:如何避免必须为每个子域进行 SSL 协商?如果我使用通配符证书(或 SAN),是否可以/是否会将与主域建立的 SSL 会话www.重新用于子域,以避免重新协商 SSL 连接而增加的延迟?
整个网站将采用 SSL 保护,并且将有 2-3 个额外的子域名media.,如static.等。使用 NGINX。
答案1
我认为您无法避免每个子域都受到 SSL 协商的影响。
必须为每个子域单独建立 HTTPS 连接。客户端知道,这些不同的子域可能托管在任何地方、不同的服务器上、不同的国家/地区。虽然客户端在技术上可以确定所有子域都指向同一个 IP 地址,但它不能也不应该假设所有子域都由同一个服务器进程托管。
此外,连接将在不同的时间进入,并且 HTTPS 密钥交换过程并非设计用于协调您所希望的加密流之间的信息共享。