Re: Gzip + https: есть-ли смысл?

Maxim Dounin mdounin на mdounin.ru
Пн Июл 23 12:34:48 UTC 2018


Hello!

On Mon, Jul 23, 2018 at 08:57:08AM +0300, Andrey Velikoredchanin wrote:

> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
> 
> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
> рекомендуется, т.к. есть проблемы с безопасностью.

Всё так.  Именно из-за наличия этого механизма могло быть "что-то 
об этом слышал" в контексте SSL - одно время были попытки 
пропагандировать идею "gzip в HTTP не нужен, если есть сжатие на 
уровне SSL/TLS".  В современном мире этот механизм не 
используется, соответственно использование gzip'а ничем не 
отличается от такового в случае отсутствия SSL.

> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
> это НЕ внутреннее сжатие SSL.

Да, использование gzip'а для статического контента в случае SSL 
ничем не отличается от такового в случае без SSL.  Если выигрыш 
есть - сжатие стоит использовать, если нет - не стоит.  Если 
статика меняется редко, можно подумать об использовании 
gzip_static вместо gzip.

> Я правильно понял?

Да.

Отмечу также, что в случае динамического контента и SSL проблема 
использования gzip приобретает дополнительные нюансы, так как 
результат может быть опять же уязвим к атакам, см. 
https://en.wikipedia.org/wiki/BREACH.

-- 
Maxim Dounin
http://mdounin.ru/


Подробная информация о списке рассылки nginx-ru