SSL 对于 RESTful API 来说有多贵？

Question

我正在制作一个 RESTful API，并且想知道如果每个请求都使用 SSL 完成，那么服务器的计算成本有多大？它可能很难量化，但与非 SSL 请求进行比较会很有用（例如，1 个 SSL 与 30 个非 SSL 请求一样昂贵）。

我的想法是否正确，要建立 SSL 连接，双方都需要生成公钥和私钥，相互共享，然后开始通信。如果使用 RESTful API 时，每个请求都会发生此过程吗？或者是否有某种缓存可以在给定的时间内重复使用给定主机的密钥（如果是，那么它们过期之前需要多长时间？）。

最后一个问题，我问的原因是因为我正在制作一个使用 facebook connect 的应用程序，并且涉及一些访问令牌，这些访问令牌授予对某人的 facebook 帐户的访问权限，话虽如此，为什么 facebook 允许通过以下方式传输这些访问令牌非加密连接？当然，他们应该像用户名/密码组合一样严格保护访问令牌，并因此强制执行 SSL 连接……但他们没有。

编辑：事实上，每当传输 access_token 时，facebook 都会强制执行 HTTPS 连接。

Answer 1

http://www.imperialviolet.org/2010/06/25/超频-ssl.html

在我们的 [Google's, ed.] 生产前端计算机上，SSL/TLS 占用的 CPU 负载不到 1%，每个连接占用的内存不到 10KB，网络开销不到 2%。许多人认为 SSL 占用大量 CPU 时间，我们希望上述数字（首次公开）将有助于消除这种看法。

如果您现在停止阅读，您只需要记住一件事：SSL/TLS 的计算成本不再昂贵。

Answer 2

SSL 过程大致如下：

• 服务器（以及可选的客户端）使用证书以及签名质询来提供其（现有的，未生成的）公钥。对方验证签名（其数学有效性、到达 CA 的证书路径、吊销状态……），以确保对方是其声称的身份。

• 在经过身份验证的各方之间协商秘密会话密钥（例如使用 Diffie Hellman 算法）。

• 各方切换到加密通信

到目前为止，这是一个昂贵的协议，每次建立套接字时都会发生。您无法缓存有关“谁在另一边”的检查。这就是为什么你应该持久化套接字（使用 REST 的事件）。

Answer 3

mtraut 描述了 SSL 的工作方式，但他忽略了 TLS 支持会话恢复这一事实。然而，即使协议本身和许多一致的服务器支持会话恢复，客户端实现并不总是支持它。因此，您不应该依赖于恢复，并且最好尽可能保持持久会话。

另一方面，如今 SSL 握手速度相当快（大约十几毫秒），因此在大多数情况下它并不是最大的瓶颈。