HTTPS访问慢,微软这锅背不背

最近发现很多用户反馈:内网通过IE的方式访问HTTPS://IP的安全设备(堡垒机等)很慢,更细心的用户发现在配置DNS后很慢,不配置DNS很快。

在剖析问题前,先看下HTTP和HTTPS,随着互联网的飞速发展,数据的安全性也越来越重要,传统的基于HTTP的访问简单便捷但也存在者数据泄露的风险,越来越多的网站将HTTP换成了HTTPS,众所周知,HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer) 是基于HTTP的基础上加入了SSL层,相对于HTTP,HTTPS采用加密方式以防数据中途被盗取,大大降低了第三方窃取信息、篡改冒充身份的风险。

我们再回来看这个问题,到底和DNS有没有关系,到底为什么配了DNS会这么慢。

我们通过旁路镜像的方式将流量进行到NPM设备进行了快速分析,分析结果如下:

在没有配置DNS整个情况如下图:

从上图看客户端和服务端延迟很低,响应时间为2.8ms,整个体验过程流畅

上图为在没有配置DNS的情况下的整个交互过程,最大的时延为客户端发送Fin+Ack时延。

在看过没有配置DNS的情况,我们再看下配置DNS后发生了什么?

通过上图看客户端和服务端延迟很低,响应时间为4.9ms对比之前2.8ms并没有差太多,但是用户等了很长时间打开网页,说明并不是网络和服务器端问题。

通过上图,我们发现客户端的Fin+Ack好使30085ms,所以整个缓慢很容易看出是发生在客户端,我们再来分析下为什么客户端这么慢,到底和DNS有没有关系。

如上图,通过NPM 的DNS七层分析发现,在配置DNS后访问HTTPS的同时,DNS解析了ctldl.windowsupdate.com这个域名。

我们查看了ctldl.windowsupdate.com微软的根证书更新域名,在配置DNS后,PC能够解析ctldl.windowsupdate.com并在HTTPS访问堡垒机过程中进行证书更新,但是却无法与ctldl.windowsupdate.com进行交互,只能等待超时结束,造成了整个访问过程异常慢

(相关微软网站链接:https://support.microsoft.com/en-us/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window)

解决方法:通过gpedit.msc来修改组策略后问题完美解决,如下图配置。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181211A1AP8P00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励