Замена протокола на HTTPS, промежуточные результаты
Примерно две недели назад я полностью заменил для dxdt.ru протокол доставки веб-страниц на HTTPS. Самое время поделиться первыми впечатлениями. Во-первых, объём пользовательского трафика (посещений страниц) не изменился – не вырос, но и не упал. Мне предсказывали небольшое падение трафика за счёт изменений в индексах поисковых машин. Этого не заметно (насколько вообще что-то можно заметить в том весьма скромном трафике с поисковиков, который есть на dxdt.ru).
Во-вторых, нагрузка на сервер выросла, Apache ест несколько больше памяти, но виртуальная машина из Amazon EC2, как и прежде, вполне себе справляется. То есть, тут проблем нет. Однако время загрузки веб-страниц увеличилось, хотя и осталось в разумных пределах (менее секунды). Виной здесь не столько переход на HTTPS, сколько то, что в результате этого перехода поломался полезный плагин для WordPress: W3 Total Cache. Этот плагин заметно сокращал время генерации страниц CMS, за счёт кэширования (в Memcached). После замены протокола, кэш на сайте перестал автоматически сбрасываться при добавлении новых заметок, приходилось передёргивать его руками. В деталях я пока с этим явлением не разбирался, а просто удалил плагин, что, собственно, и привело к замедлению работы сайта.
В-третьих, с SSL-сертификатом COMODO, выпущенным от корня AddTrust CA через пару промежуточных сертификатов, возникли некоторые проблемы. По неясной мне причине, браузер Safari под Mac OS на некоторых “макбуках” данному сертификату доверять отказывается: в списке доверенных корней этой линейки браузеров нет подходящего корня (AddTrust или чего-нибудь иного, но с тем же ключом, да). Я уверен, что на сервере у меня всё правильно настроено: отдаются и серверный, и необходимые промежуточные сертификаты. Что происходит с некоторыми образцами программно-аппаратных продуктов компании Apple – ещё предстоит разобраться (у меня нет “макбука” – значит, для тестов мне нужно его у кого-то отобрать, да ещё и в подходящей комплектации). Замену SSL-сертификата, тем не менее, пока не планирую.
Адрес записки: https://dxdt.ru/2014/12/07/7106/
Похожие записки:
- Обновление "Избранного"
- Удостоверяющие центры TLS-сертификатов Рунета
- Реплика: теоретическая разборка карамелек
- Боты AI
- Техническое: ключи DNSSEC и их теги
- Персоны и идентификаторы
- Заметки за август 2024
- Бывшая "Яндекс.Почта"
- Статья о технологии Encrypted Client Hello
- Техническое: poison-расширение и SCT-метки в Certificate Transparency
- Starlink и взаимодействие с наземными GSM-сетями
Комментарии читателей блога: 10
1. 7th December 2014, 20:58 // Читатель RedElf написал:
— оффтопик —
У меня что-то Касперский ругается на сертификат вконтакта. Как мне точно убедиться, что сайт подменяют/не подменяют?
2. 8th December 2014, 00:45 // Александр Венедюхин:
А “Касперский” проверяет и сертификаты тоже? Вообще, должен браузер ругаться. Проверить можно, посмотрев внутрь сертификата. В браузерах это можно сделать, кликнув по замку в адресной строке, либо на ссылку в окне предупреждения о проблемах HTTPS. В сертификате нужно смотреть, прежде всего, на имя домена – это если выдаётся предупреждение. Потом – смотреть на цепочку подписей (Issuer->Subject). Потом – сравнить отпечаток (fingerprint) полученного сертификата, с тем, что должно быть (что должно быть – нужно посмотреть из какой-нибудь другой точки Сети: например, я вижу у них такой сертификат: *.vk.com, SHA1: 949da22a7a5cf1c65e03c2f2a5d5f0d60a8e0bbf).
Лучше всего – присылайте “подменный” сертификат прямо сюда (секретного в нём ничего быть не может) или мне почтой. Сертификат можно сохранить из браузера, в ASCII-формате (Base64).
3. 8th December 2014, 23:59 // Читатель RedElf написал:
Пфф. Оказывается он эти сертификаты и выдает О_о “Kaspersky Anti-Virus Personal Root Certificate”
хм. более того, все, как я понимаю, корневые сертификаты касперский заменяет своими
http://s28.postimg.org/mrs7a30ot/image.jpg
Сертификат на вконтакт: http://ge.tt/7AUunY62/v/0
И ради интереса
сертификат на dxdt: http://ge.tt/4veEoY62/v/0
4. 9th December 2014, 10:20 // Александр Венедюхин:
А, ну это они чтобы прослушивать HTTPS и пр. так делают, типа, вирусы ищут в трафике.
5. 9th December 2014, 16:53 // Читатель RedElf написал:
Хм, надо бы от этого избавляться.
А у вас какой антивирус?
6. 9th December 2014, 23:29 // Александр Венедюхин:
ClamAV. На компьютерах под Windows – стандартная Microsoft-овская утилита Windows Defender.
7. 10th December 2014, 10:05 // Читатель RedElf написал:
Ок, попробую CalmAV под винду
8. 6th September 2015, 17:42 // Читатель Antonio написал:
Тоже перешел, вроде все в порядке, яндекс только ТИЦ обнулил
9. 6th September 2015, 17:46 // Читатель Antonio написал:
Надеюсь ТИЦ все-таки перенесется на https
10. 6th September 2015, 19:50 // Александр Венедюхин:
Да, “Яндекс” переносит его, через некоторое время. Я наблюдал такое с dxdt.ru.