Re: Gzip + https: есть-ли смысл?

[Maxim Dounin]

Hello!

On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:

> Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
> почему-то не смог найти информацию о том, имеет-ли смысл включать gzip для
> статики если сайт работает через https? Я помню что что-то об этом слышал,
> но, как уже отметил - не смог найти подтверждения этому.

Есть.

Одно время люди из мира SSL/TLS пытались продвигать сжатие на 
уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не 
пытались, и б) делает динамический контент уязвимым к атакам, см. 
https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда 
запрещает сжатие на уровне SSL.

-- 
Maxim Dounin
http://mdounin.ru/