• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
денис аникин
 

денис аникин

on

  • 878 views

 

Statistics

Views

Total Views
878
Views on SlideShare
376
Embed Views
502

Actions

Likes
0
Downloads
5
Comments
0

5 Embeds 502

http://techforum.mail.ru 485
http://www.techforum.mail.ru 7
http://www.facebook.com 7
https://www.facebook.com 2
https://m.facebook.com&_=1352558012215 HTTP 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    денис аникин денис аникин Presentation Transcript

    • HTTPS на Почте@Mail.Ru
    • TCP/IPНе защищенныйпротокол!
    • Для чего нужен защищенный протокол? Local Airport Internet Wi-Fi Provider Man In The MiddleShopping Center Network at Wi-Fi work
    • Как работает защищенные соединение?Browser Шифрование Server
    • SOCKETSECURITYLAYERАссиметричноешифрование
    • Как работает SSLClient Server Public Key
    • Как работает SSL Random NumberClient Server
    • Как работает SSL Ключевые ДанныеClient Server
    • Сервер получает сертификат у Центра Сертификации (CA)Server Sertificate
    • Сертификат – это пара – открытый ключ и закрытый ключ Private Key Sertificate Public Key
    • Сервер – тот, за кого себя выдает? Root SertificateClient Public Key
    • Как настроить HTTPS?- В браузерах он уже есть- В серверах оно тоже уже есть (в nginx, в частности)- У сервера должен быть сертификат
    • Как настроить HTTPS?Browser Server Sertificate SS SS L L
    • Как настроить HTTPS? $ Sertificate
    • Так просто?- Заказать сертификат- Разложить его на сервера- Включить опцию на nginx- И это все???
    • Если ваш проект – это страница HelloWorld, то да, это все
    • А если это Почта@Mail.Ru, то не все!
    • Почему так? В чем отличие от HelloWorld? В двух аспектах1. Почта содержит много страниц (сотни), а HelloWorld всего одну2. Почта работает под гигантской нагрузкой – сотни тысяч HTTP RPS
    • Как эти аспекты влияют?1. Чтобы браузер не ругался, надо отдавать по HTTPS ВСЕ ДАННЫЕ2. SSL потребляет ресурсы процессора и память
    • Что мы делали1. Отдаем по HTTPS ВСЕ ДАННЫЕ- Дорабатывали баннерную систему (RB)- Поддержали SSL везде, где можем- Заменили все ссылки на протоколонезависимые в тоннах шаблонов- Разработали прокси картинок для SSL там, где мы не можем2. Выдерживаем нагрузку- Оптимизация- Тьюнинг настроек SSL
    • Баннерная система- Поддержка SSL- Переговоры с партнерами, чтобы поставляли SSLные пиксели- Автозапрет на создание не SSL-контента в SSL-ready проектах
    • Поддержка SSL везде, где можем- Почтовые веб-сервера (фронты)- Сервера, отдающие почтовую статику- Сервера логирования клиентских ошибок и клиентскойДиагностики (радары)- Сервера веб-агента- Сервера фотохостинга Моего Мира (для аватарок)- Сервера, отдающие атачи и их превью- Умная поддержка SSL на мобильных устройствах- Замена ссылок на протоколонезависимые- Перевод всех счетчиков на SSL (li.ru, top, tns)
    • Прокси картинок там, где не можем- Очень быстрая (асинхронный ввод-вывод, один поток)- Асинхронный DNS-лукап- Хождение по редиректам- Защита от злоумышленников (шифрование параметров запроса)
    • Оптимизация- Оптимизация кода (отдаем больше процессора под терминацию SSL)- Новый nginx- Увеличили количество воркеров нашего сервера auth c 2 до 4
    • Тьюнинг настроек SSL и nginx- Keepalive- SSL-Cache (ускоряет SSL-Handshake)- Оптимизация random (чтобы было меньше iowait)- Увеличили proxy_buffers в nginx с 4К до 16К- Изменили SSL Cypher – на первое место поставили RC4- Увеличили количество воркеров nginx с 4 до 8
    • СПАСИБО! Денис АникинТехнический Руководитель Почты@Mail.Ru anikin@corp.mail.ru