Vlákno názorů k článku Centralizované DoH škodí ochraně soukromí, v roce 2019 i do budoucna od StarousCZ - Pomalost https je dost demagogie a napriklad http...
-
Pomalost https je dost demagogie a napriklad http 2 ktere ma.vynucene TLS je radove rychlejsi nez http v plaintextu. viz http://www.httpvshttps.com/
-
Jenomže je to proto, že v HTTP1 načtu dokument a pak při jeho zpracování zjistím, že budu potřebovat ten a ten soubor stylů. to a to písmo, mám vložit reklamu z támhletoho serveru, semhle logo, támhle obrázek, a ještě spustit skript kvůli animaci. Zjišťuješ to postupně. A postupně kontaktuješ DNS pro domény s reklamou, skripty, fonty, navazuješ sokety a začínáš sosat. U HTTPS2 víš seznam hned na začátku a server ti to začne rvát všechno současně, ani bys musel nějak extra řešit, kde to roste a posílat DNS dotaz po 0.5s zpracovávání.
Takže ono sice šifrování třeba o 5% zpomaluje, ale je to dobře maskováno tím, že když se jednou bavíš se serverem, nemusíš s ním navazovat dalších pět spojení kvůli obrázkům a stylům. A nemusíš kontaktovat kvůli reklamám apod. DNSko s odezvou třeba 15ms, už to máš předchroupaný. Proto bych s výrokem "TLS zrychluje proti plaintextu" byl hodně opatrný.
-
Souhlasím, jenom s tím že to zpomalení je cca 1-2 % což mi přijde zanedbatelné.
Viz komentář člověka od googlu co se podílí na tvorbě standartu pro https
"On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10 KB of memory per connection and less than 2% of network overhead. Many people believe that SSL/TLS takes a lot of CPU time and we hope the preceding numbers will help to dispel that.
- Adam Langley, Google
"Overclocking SSL" -
Tady chce také říct, že to je na infrastruktuře Google, kde používají svůj optimalizovaný neuniverzální neotevřený kód, na serverech mají svoje akcelerátory (zmiňovali aspoň na šifrovanou komunikaci po síti) a další spousty drobností (vlastní jazyk a OS), kvůli kterým to nelze generalizovat a dávat jako argument.
Google je hlavně poskytovatel obsahu, je to tedy pro ně důležité. Udělat 1 - 2 % zpomaléní v podmínkách třetí společnosti na open source (či cenově dostupných) technologiích nelze jednoduše. Na českých velkých projektech se pohybujeme kolem o 5 % vyšší průměrnou zátěží na cpu, ale o 20 % vyšší latenci na first packet, opakovaná spojení jsou daleko rychlejší.
-
nebo tvůj příspěvek je demagogie :). HTTP2 obsahuje pořád ve specce možnost ho nemít v TLS. HTTP je proti bezstavovému DNS na UDP řádově pomalejší. HTTP2 situaci zlepšuje, ale o tom není DoH, je to příliš nový protokol a ještě není příliš rozšířený, nelze zatím použít žádný stabilní open source implementaci. V porovnání s DNS pod UDP je pořád i HTTP/2 pomalejší.
Nevidím důvod k modernímu stylu používat na vše divné http a vše posílat po TCP/80 TCP/UDP/443, mám rád přehled a kontrolu nad provozem, trunk port mi moc přehled a kontrolu nedává.
