Re: Gzip + https: есть-ли смысл?

Andrey Velikoredchanin uncleandyv на gmail.com
Пн Июл 23 07:03:06 UTC 2018


У меня основная цель - текстовую статику жать: html, css, js (в среднем все
больше 1Кб). Для этого имеет смысл включать gzip под ssl?

23 июля 2018 г., 9:57 пользователь Илья Шипицин <chipitsine at gmail.com>
написал:

>
>
> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin <uncleandyv at gmail.com
> >:
>
>> Максим, спасибо за ответ!
>>
>> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>>
>> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не
>> рекомендуется, т.к. есть проблемы с безопасностью.
>> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к.
>> это НЕ внутреннее сжатие SSL.
>>
>
> пасьянс на самом деле более запутанный.
>
> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том числе
> заголовки (но ssl компрессия выключена при сборке nginx по причинам
> безопасности)
> в качестве вишенки на торте - http2, у него есть свои механизмы для
> минификации трафика (в том числе сжатые заголовки).
>
> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у нее
> по опыту отрицательный выигрыш
>
>
>>
>> Я правильно понял?
>>
>> 23 июля 2018 г., 1:59 пользователь Maxim Dounin <mdounin at mdounin.ru>
>> написал:
>>
>>> Hello!
>>>
>>> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>>>
>>> > Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>>> > почему-то не смог найти информацию о том, имеет-ли смысл включать gzip
>>> для
>>> > статики если сайт работает через https? Я помню что что-то об этом
>>> слышал,
>>> > но, как уже отметил - не смог найти подтверждения этому.
>>>
>>> Есть.
>>>
>>> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
>>> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
>>> пытались, и б) делает динамический контент уязвимым к атакам, см.
>>> https://en.wikipedia.org/wiki/CRIME.  Так что nginx всегда
>>> запрещает сжатие на уровне SSL.
>>>
>>> --
>>> Maxim Dounin
>>> http://mdounin.ru/
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru at nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20180723/e4abf67a/attachment.html>


Подробная информация о списке рассылки nginx-ru