http.sys 및 winhttp.dll에 SSL/TLS "세션 재개"및 "잘못된 시작"이 있습니까?

Question

델파이로 작성된 애플리케이션은 클라이언트 측 winhttp.dll을 첨부합니다. 서버 쪽에서는 mORMot (웹 서버 기능을 위해 "http.sys"를 첨부하는 SOA/ORM 클라이언트 - 서버 라이브러리)을 사용합니다. 다음 단계는 JS로 작성된 웹 클라이언트가 될 것입니다.

대기 시간이 약 100ms 인 모든 정상 연결에 대해 SSL/TLS 핸드 셰이크가 포함 된 350ms 이상이됩니다.

"세션 재개"와 "잘못된 시작"(인증서를 재사용하고 데이터를 빠르게 전송함으로써) 대기 시간은 < 200ms와 같을 수 있습니다. 이것은 나를 위해 매우 큰 이득입니다.

내 질문은 : "HTTPSYS"(서버)와 "winhttp.dll"(클라이언트)가 이러한 발전을 사용할 수 있습니까? 그렇다면 어떤 버전입니까?

참고 : Win8.1 및 Windows Server 2012로 시작하는 것은 사실이지만 문서를 찾을 수없는 경우에만 IIS 8.5에 세션 재개가 있다고 가정합니다.

Answer 1

나는 이것에 대한 문서를 찾으려고 노력하고 있으며, 분명히 오기가 어렵다. IISpeed.com은 다음과 같이 말합니다 :

"TLS 거짓 시작을 사용하려면 전달 보안 암호를 구성하십시오." (https://www.iispeed.com/pagespeed/recommendations)

다음은 도움이 될만한 PowerShell 스크립트입니다. 신중하게 사용하십시오 - https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

일리야 그리고 릭이 브라우저는 TLS 거짓 스타트에 필요한 것과 같이 좀 더 내용이수록 :

가 모든 브라우저에서 TLS 거짓 스타트를 사용하려면 서버가 지원되는 프로토콜의 목록을 광고한다 ALPN 확장자 (예 : "h2, http/1.1")를 통해 전달 보안을 가능하게하는 암호 스위트를 지원하고 선호하도록 구성 할 수 있습니다. (https://hpbn.co/transport-layer-security-tls/#deploying-tls-false-start)

잘 조정 된 TLS 배포는 TLS 연결을 협상하기위한 TLS 연결을 새로 추가했는지 또는 다시 시작할지에 관계없이 최대 하나의 추가 왕복을 추가하고 다른 모든 대기 시간 함정을 방지합니다. 세션 다시 시작 구성 및 전달 기밀 사용 TLS 거짓 시작을 사용하도록 설정합니다. (https://hpbn.co/transport-layer-security-tls/#enable-1-rtt-tls-handshakes)

그러나 www.hass.de에서 해당 페이지 이외의 단계별 안내를 제공하는 구현 가이드를 찾지 못했습니다. (H2는 Ilya의 HTTP 헤더 권장 사항에 포함되어 있지만 TLS False Start에는 필요하지 않습니다.)

서버의 TLS 성능을 최적화하는 다른 방법을 잊지 마십시오. Ilya의 책인 https://hpbn.co/을 읽거나 다른 성능 향상을 위해 체크리스트를 읽으십시오. https://hpbn.co/transport-layer-security-tls/#optimizing-for-tls https://hpbn.co/transport-layer-security-tls/#enable-http-strict-transport-security-hsts