Re: Gzip + https: есть-ли смысл?
Konstantin Tokarev
annulen на yandex.ru
Пн Июл 23 12:03:21 UTC 2018
23.07.2018, 10:12, "Илья Шипицин" <chipitsine на gmail.com>:
> пн, 23 июл. 2018 г. в 12:03, Andrey Velikoredchanin <uncleandyv на gmail.com>:
>> У меня основная цель - текстовую статику жать: html, css, js (в среднем все больше 1Кб). Для этого имеет смысл включать gzip под ssl?
>
> в общем случае - не имеет (потому что есть проблемы с безопасностью)
директива gzip не имеет отношения к сжатию уровня SSL, так что проблем нет
> в конкретно вашем - исследуйте ))
>
>> 23 июля 2018 г., 9:57 пользователь Илья Шипицин <chipitsine на gmail.com> написал:
>>> пн, 23 июл. 2018 г. в 10:57, Andrey Velikoredchanin <uncleandyv на gmail.com>:
>>>> Максим, спасибо за ответ!
>>>>
>>>> Однако, он не совсем прояснил ситуацию. Попробую переформулировать...
>>>>
>>>> 1. Есть некий механизм сжатия, встроенный в SSL. Его использовать не рекомендуется, т.к. есть проблемы с безопасностью.
>>>> 2. Включать "gzip on;" для статического контента под SSL есть смысл, т.к. это НЕ внутреннее сжатие SSL.
>>>
>>> пасьянс на самом деле более запутанный.
>>>
>>> gzip жмет тело ответа, но не заголовки. SSL теоретически, жмет в том числе заголовки (но ssl компрессия выключена при сборке nginx по причинам безопасности)
>>> в качестве вишенки на торте - http2, у него есть свои механизмы для минификации трафика (в том числе сжатые заголовки).
>>>
>>> если включать ssl компрессию, надо аккуратно, на ответах порядка 1Кб у нее по опыту отрицательный выигрыш
>>>
>>>> Я правильно понял?
>>>>
>>>> 23 июля 2018 г., 1:59 пользователь Maxim Dounin <mdounin на mdounin.ru> написал:
>>>>> Hello!
>>>>>
>>>>> On Sun, Jul 22, 2018 at 10:48:33PM +0300, Andrey Velikoredchanin wrote:
>>>>>
>>>>>> Извиняюсь если вопрос древний (а у меня есть такое подозрение), но
>>>>>> почему-то не смог найти информацию о том, имеет-ли смысл включать gzip для
>>>>>> статики если сайт работает через https? Я помню что что-то об этом слышал,
>>>>>> но, как уже отметил - не смог найти подтверждения этому.
>>>>>
>>>>> Есть.
>>>>>
>>>>> Одно время люди из мира SSL/TLS пытались продвигать сжатие на
>>>>> уровне SSL/TLS, но оно а) ест столько памяти, что лучше бы они и не
>>>>> пытались, и б) делает динамический контент уязвимым к атакам, см.
>>>>> https://en.wikipedia.org/wiki/CRIME. Так что nginx всегда
>>>>> запрещает сжатие на уровне SSL.
>>>>>
>>>>> --
>>>>> Maxim Dounin
>>>>> http://mdounin.ru/
>>>>> _______________________________________________
>>>>> nginx-ru mailing list
>>>>> nginx-ru на nginx.org
>>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>> _______________________________________________
>>>> nginx-ru mailing list
>>>> nginx-ru на nginx.org
>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru на nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru на nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
> ,
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
--
Regards,
Konstantin
Подробная информация о списке рассылки nginx-ru