Encerrando o SSL no nível do Cloudflare. Eu obtenho ganhos de desempenho?

Considerando que você está falando sobre conteúdo estático, não acho que faça sentido diminuir a segurança de casos de cache frios apenas para remover um handshake SSL. Obviamente, você terá cabeçalhos de controle de cache adequados e armazenará esse conteúdo por algum tempo.

Também gostaria de alertar contra qualquer otimização micro que tente eliminar a criptografia entre a borda e a origem do conteúdo dinâmico para remover um RTT ou 2. O Cloudflare já pode otimizar bastante isso e manter uma conexão aberta à origem para um período de tempo cortando os handshakes SSL, aumentando o tamanho da janela de congestionamento e assim por diante.

Se você está falando no nível da rede claramente não é um ganho digno como já foi visto por outros comentários.

Mas no caso em que a CPU é um problema no seu servidor de origem, isso pode ser uma ideia, porque a SSLização do conteúdo custa uma sobrecarga da CPU (cerca de 20%, digamos). Mas se você não tiver problemas de CPU na origem, não economizará muito e, portanto, não vale a pena.

Há certamente uma melhoria na negociação de TLS, negociando-a mais perto do usuário. A negociação TLS ainda é um conjunto de pacotes que acontece antes que o primeiro byte de dados reais seja enviado, portanto, aproximá-lo do usuário torna o estabelecimento da sessão mais rápido. Esta é apenas a velocidade básica do material leve - quanto menos distância física os pacotes tiverem de percorrer, tudo o mais sendo igual, mais rápido será.

A pergunta é: isso realmente importa? Você deve se importar? No caso do Stack Overflow, estabelecemos milhares de conexões de TLS de usuário por minuto, portanto, quando você adiciona milhões de sessões de TLS em 24 horas, cada milésimo de segundo conta.

No entanto, se você está obtendo apenas alguns hits por hora, não há uma enorme quantidade de ganhos acumulados para o estalimento da sessão, movendo o SSL para o seu CDN.

Em termos de conexões do CDN de volta à origem, o CloudFlare deve usar as mesmas poucas sessões (de cada PoP) para que ele não seja restabelecido em nome do cliente. CloudFlare costumava (talvez ainda o façam?) Ter um acelerador de WAN chamado " Railgun ", que torna o TLS de terminação no CDN ainda mais adventivo.

No entanto, eu pensaria duas vezes antes de cortar o seu Lets Encrypt na sua origem. Você provavelmente ainda deseja criptografar entre CloudFlare e seu servidor web local. Não fará qualquer diferença de desempenho, e desta forma você ainda está parando de bisbilhotar da Cloudflare até sua origem.

O Cloudflare oferece não apenas terminação SSL, mas também HTTP / 2 em conjunto com o SSL. Isto é o que fornece a velocidade, especialmente se você pode armazenar em cache a maior parte do conteúdo do site (arquivos estáticos, arquivos de imagem, etc). Eu estou um pouco surpreso que os outros comentaristas aqui não tenham sequer mencionado o HTTP / 2, pois traz várias melhorias para o protocolo HTTP.

Então, eu diria que - se você pode atualizar seu servidor web para suportar HTTPS + HTTP / 2 (versões mais recentes do Nginx, acho que o Apache pode fazer com um complemento de módulo apropriado), esse será o principal melhoria que ajudará qualquer aceleração. Se você não puder suportar HTTP / 2, a terminação SSL do Cloudflare com seu suporte HTTP / 2 é a próxima opção. E se você estiver disposto / capaz de rodar ambos , é o término do Cloudflare HTTPS + HTTP / 2, e HTTPS + HTTP / 2 entre eles e sua origem, o site será extremamente rápido e responsivo. Eu mesmo notei isso depois de trocar um dos meus sites por um pipeline HTTPS + HTTP / 2 inteiro e é visivelmente mais rápido no carregamento, principalmente devido a melhorias que o HTTP / 2 traz para a tabela.