http.sys和winhttp.dll是否具有SSL / TLS“會話恢復”和“錯誤啟動”？

Question

我有一個用Delphi編寫的應用程序，該應用程序附加了客戶端winhttp.dll，在服務器端它使用了mORMot（SOA / ORM客戶端-服務器庫為Web服務器功能附加了“ http.sys”）。 下一步還將是用JS編寫的Web客戶端。

因此，對於每個具有〜100ms延遲的正常連接，包括SSL / TLS握手的時間將大於350ms。

我讀到“會話恢復”和“錯誤啟動”（通過重用證書並更快地推送數據）的延遲可能小於200毫秒，這對我來說是一個很大的收獲。

所以我的問題是：“ http.sys”（服務器）與“ winhttp.dll”（客戶端）結合使用可以使用這些改進嗎？ 如果是，從哪個版本開始？

注意：我想從Win8.1和Win Server 2012開始確實如此，但是我找不到任何文檔，只有IIS 8.5具有會話恢復功能。

Answer 1

我也在嘗試查找有關此方面的文檔，這絕對很難。 IISpeed.com只是說：

“配置前向保密密碼以啟用TLS錯誤啟動。” （ https://www.iispeed.com/pagespeed/recommendations ）

以下是一些可能有用的PowerShell腳本。 謹慎使用-https: //www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

Ilya Grigorik進一步詳細介紹了瀏覽器對TLS False Start的要求：

為了在所有瀏覽器上啟用TLS False Start，服務器應通過ALPN擴展發布支持的協議列表，例如“ h2，http / 1.1”，並配置為支持並偏愛啟用前向保密性的密碼套件。 （ https://hpbn.co/transport-layer-security-tls/#deploying-tls-false-start ）

調整良好的TLS部署最多應添加一個額外的往返行程以協商TLS連接，而不管它是新建的還是恢復的，並且避免所有其他延遲陷阱：配置會話恢復，並啟用前向保密性以啟用TLS False Start。 （ https://hpbn.co/transport-layer-security-tls/#enable-1-rtt-tls-handshakes ）

但是，除了www.hass.de上的該頁面之外，我沒有找到可指導您逐步操作的實施指南。 （H2已包含在Ilya的HTTP標頭建議中，但對於TLS False Start則不是必需的。）

不要忘記優化服務器的TLS性能的其他方法。 確保並閱讀Ilya的書https://hpbn.co/ ，或者至少瀏覽一下他的清單以利用其他性能提升。 https://hpbn.co/transport-layer-security-tls/#optimizing-for-tls https://hpbn.co/transport-layer-security-tls/#enable-http-strict-transport-security-hsts