Ваше отношение к бесплатным SSL-сертификатам

Никто ж не будет 100500 фоток в высоком разрешении на одну страницу грузить.

Никогда не следует недооценивать предсказуемость тупизны (с)

А если они весят по 10-20 кб, но при этом сервер в австралии и рядом нет никаких его кэш-прокси, то в целом хттп2 должен быть быстрее

теоретически да. На практике - это как раз вот те 5-10% случаев. Кстати, я как-то очень сомневаюсь в стабильности линка до Австралии, и что-то мне подсказывает, что мультиплексированный коннект гораздно сильнее подвержен проблемам этой самой стабильности.

Я прошу конфиги этого конкретного ресурса.

Да я вижу, что немного не по адресу.

пачек xhr
а каким местом оно до хттп2?

Мультиплексирование, header compression, etc.

Коннект уже вполне может быть закрыт к моменту

Вполне может ядерная война начаться к этому моменту.

Про quic я бы предпочел поговорить в другом треде, эта штука выглядит действительно полезной и интересной.

Да уже всё обсудили.

это как раз вот те 5-10% случаев

ну ок, ладно, черт с котами. вот смотри. я открываю главную ЛОРа и у меня подцепляются 25 ресурсов, из них 20 с linux.org.ru, а остальные 5 с гугла. Вроде как раз в этом случае 20 ресурсов с лора можно было бы доставлять без дополнительного handshake в одном тоннеле. Или я туплю?

не, понятно что от меня до ЛОРа ближе чем от меня до австралии. но если б я был скажем в брюсселе, то сервак в берлине был бы ближе чем в дс

Технологические: отсутствие EV, wildcard, проблемы с жава-софтом на (относительно) старых jre

Идеологические: фишинговым ресурсам стало проще и дешевле прикидываться настоящими; от SSL осталось только шифрование, механизм доверия на основании наличия валидного сертификата практически уничтожен.

Вроде как раз в этом случае 20 ресурсов с лора можно было бы доставлять без дополнительного handshake в одном тоннеле.

да. Но на этих 20 ресурсах разницы ты не увидишь :)

но если б я был скажем в брюсселе, то сервак в берлине был бы ближе чем в дс

Я хз что надо делать в вебе, чтобы заметить latency по Европе. Но формально ты прав, разница в 20-40мс будет.

Но на этих 20 ресурсах разницы ты не увидишь :)

было бы интересно проверить кстати

Я хз что надо делать в вебе, чтобы заметить latency по Европе. Но формально ты прав, разница в 20-40мс будет

ну, можно замерить на каком-нибудь интернет-отстойнике типа фишек.

Но вообще имхо тут дело не в клиенте. для клиента 20-40мс это хрень, даже глаз не почесать. А вот для сервера это может выйти в сотни доп клиентов без апгрейда железа и покупки CDN

Очень наивный взгляд на мир. У китайского майора есть, а у американского, которого не раз ловили за руку - нету, потому как «индустрия и банки гарантируют». Лол!

Сервера в распределенных системах пользовательский трафик не терминируют - его приземляют на фронтэндах (тыщи юзеров, много QPS), которые держат постоянные сессии до элементов, расположенных ниже.

ок, но выигрыш все равно будет по крайней мере от юзера до фронтенда

Я тебе скажу так: главная страничка ru-региона wg.net по коллективному недосмотру где-то недели две жила без спиди/хттп2 - ни один пользователь и никакой мониторинг (в т.ч. newrelic real user monitoring) разницы не заметил.

При всем при этом на /globalmap статика вынесена на отдельный хост, и вот там уже http2 просто необходим (без него время подгрузки провинций при активной навигации увеличивается раза в три).

Мультиплексирование

xhr

ты там поднимаешь сотню xhr одновременно, что ли?

Вполне может ядерная война начаться к этому моменту.

зачем передергивать?

главная страничка ru-региона wg.net по коллективному недосмотру где-то недели две жила без спиди/хттп2 - ни один пользователь и никакой мониторинг (в т.ч. newrelic real user monitoring) разницы не заметил.

юзеры да, а что было с загрузкой канала и гейта? по идее она должна быть выше из-за хэндшейков на каждый чих.

Вполне может ядерная война начаться к этому моменту.

зачем передергивать?

так когда война начнется - передергивать уже поздно будет, руки будут автоматом заняты

Многие будут этим заниматься?

Многие уже этим занимаются: https://github.com/gheift/letsencrypt.sh

Технологические: отсутствие EV
механизм доверия на основании наличия валидного сертификата практически уничтожен.

На ноль делишь

жава-софтом на (относительно) старых jre

Серьёзно? Какой сейчас год?

Отлично, значит продвинутые пользователи смогут написать свою реализацию или сделать форк при необходимости (если в очередном обновлении официального появятся не связанные с обновлением сертификата функции). Многие будут этим заниматься?

Так у тебя и ядро linux ботнет

Сложно сказать точно, там от акций всяких трафик зависит сильно. Но усредненно: было 350 мегабит на хост, стало 355..360.

Пришел поручик Ржевский и все опошлил :)

До 8u101 не поддерживается. Старого софта море

Так ты про апплеты, или что за старый софт?

А что не поддерживается? TLS давно не менялся, в java просто нет корневого сертификата? Тогда можно добавить в исключение, как самоподписанный, или добавить весь CA.

Можно. Но это лишний головняк (особенно если у тебя зоопарк серверов), который нужен только потому, что какие-то ребята решили устроить цифровой коммунизм. А я не люблю делать лишнюю работу :)