TrafficServer 是Apache基金会的 HTTP/HTTP2 代理服务器。

TrafficServer 的 HTTP2 部分主要的代码在 :

1. trafficserver/proxy/http2/HTTP2.h, HTTP2.cc
2. trafficserver/proxy/http2/Http2Stream.h, Http2Stream.cc
3. trafficserver/proxy/http2/Http2ClientSession.h, Http2ClientSession.cc
4. trafficserver/proxy/http2/Http2ConnectionState.h, Http2ConnectionState.cc
5. trafficserver/proxy/http2/ Http2DependencyTree.h, Http2DependencyTree.cc
6. trafficserver/proxy/http2/HPACK.h, HPACK.cc
7. trafficserver/proxy/http2/HuffmanCodec.h, HuffmanCodec.cc

最近发现密码学很有意思，刚好还和工作有点关系，就研究了一下，本文是其中一部分笔记和一些思考。

密码学理论艰深，概念繁多，本人知识水平有限，错误难免，如果您发现错误，请务必指出，非常感谢!

本文禁止转载

本文目标：

1. 学习鉴赏TLS协议的设计，透彻理解原理和重点细节
2. 跟进一下密码学应用领域的历史和进展
3. 整理现代加密通信协议设计的一般思路

本文有门槛，读者需要对现代密码学有清晰而系统的理解，建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。

问题背景

https://timyang.net/programming/load-average/

2015.08.13 高可用架构群 Load 编程比赛，Tim 在群征集一段代码使 load average 最高

多线程写几个 while 循环的方法太 trivial 了，就不提了。

下面是 byronhe 的两个解：

本文介绍目前现代密码学的最先进技术， 前半部分主要翻译自 《Cryptographic Right Answers》，附上收集的资料，和byron个人的理解。

密码学理论艰深，概念繁多，本人知识水平有限，错误难免，如果您发现错误，请务必指出，非常感谢!

下文分类介绍在各种适用场景下，你应该使用的现代密码学算法

1. 加密数据 :

按照优先级，应该选择:

(1) 首选 NaCl库，或者libsodium库，使用里面的crypto_secretbox()/crypto_secretbox_open() 函数 (2) Chacha20-Poly1305 算法 (3) AES-GCM 算法

适用场景:当你需要避免把明文数据在网络上传输的时候。

以上3种算法，都是AEAD类的算法，AEAD是2015年最好的选择。 其中的(2)和(3)在结构上类似：一个流加密模式的算法，配合一个多项式结构的MAC。 (2)是一个流加密算法，配合一个为通用cpu优化的MAC算法， 对密码学库的实现者来说，Poly1305也比GCM更容易安全地实现。 AES-GCM是工业标准(TLS目前主要用的就是AES-GCM)，现代CPU通常都有专门为AES-GCM设计的硬件指令，但是在没有硬件指令支持的CPU上(比如32位的arm)，(3)性能低于(2)。

下文以nginx为例，介绍如何部署一个高性能，高安全性的https服务器。

并附送一个优化出来的openssl编译脚本，可以编译出一个高性能，高安全性的openssl库，您可以直接复制粘贴使用。

此处直接给出实践指导，后续再写文章解释tls协议的这些原理细节。

nginx下https配置的优化点，主要有:

1. session ticket
2. session id cache
3. ocsp stapling
4. http KeepAlive
5. ECDHE等ciphersuite优化
6. openssl 编译优化

一， nginx https的配置

先贴一下nginx配置，如下。

是根据mozilla的权威文档 ,和生成工具(选择 nginx，intermediate ) 生成的配置为基础，加入session ticket等配置的结果