https 握手偶尔很慢,怎么破

2021-11-08 14:12:40 +08:00
 msmmbl

内网的 https api 接口,用 golang 自带的 https 包写的。

接口本身很快就是返回一个字符串,类似客户端发 ping ,服务器发 pong 这样的接口,但是好像 https 握手有点问题:90%的情况下握手时间在 100ms 以内,但是偶尔会跑到 12s 。

为什么我觉得是 https 握手的问题呢,因为如果再这 12s 内关闭浏览器的话,服务端会出现一个 http: TLS handshake error from 172.30.30.0:58182: EOF 日志,所以我判断还在 https 握手阶段。

证书使用了 let's encrypt 的证书,开始以为是被墙的原因,于是做了 OCSP ,但是没有改观。

也考虑是 dns 服务器的问题,于是干脆在内网布上 dns 服务器,也没有改观。

另外出现这个问题的时候,此时用同一个浏览器窗口去访问其他域名的 https 接口(同样 golang ,内网),大概率也会要等 12s 。

但是出现问题的时候,如果用另外的电脑去访问这个接口,返回就很快。所以我判断不是服务器的负载太高。

大概率觉得是 https 握手的问题。各位可以指导下吗?

1474 次点击
所在节点    问与答
11 条回复
starsky007
2021-11-08 15:36:25 +08:00
“另外的电脑”也像出现问题的那台电脑那样“持续访问”,会怎么样呢?
这样有助于确定是服务端还是客户端的问题。
misaka19000
2021-11-08 15:57:49 +08:00
tcpdump 抓包看
msmmbl
2021-11-08 16:10:26 +08:00
@starsky007 它也会出现偶尔 12s 的握手时间
msmmbl
2021-11-08 16:11:32 +08:00
@misaka19000 嗯,正抓着呢,希望能发现点什么。
jatsz
2021-11-08 16:16:27 +08:00
一个思路是使用 curl -v 来访问你的接口,纪录这些日志,查看时间真正花在哪里。
msmmbl
2021-11-08 16:38:24 +08:00
@jatsz 嗯,其实很难复现。用 curl -v 很快
msmmbl
2021-11-08 16:42:55 +08:00
@misaka19000 用 tcpdump 貌似发现了一点规律
starsky007
2021-11-09 11:48:07 +08:00
我想学习一下,希望楼主在问题解决之后分享一下。
msmmbl
2021-11-09 14:10:45 +08:00
@starsky007 我也是在试。因为卡住的时候,tcpdump 正好都能在网关上抓到附言中提到的 IP 访问,并且那家公司貌似在防火墙上限制了它的访问,于是开始怀疑这几个 IP 了。通过 IP 反查,看出来应该是微软的 CDN 地址,结合公司内网的 DNS 查询记录,大体确认是访问几个 microsoft.com 后缀地址。于是干脆先在 DNS 服务器上加了一些规则,把 microsoft.com 后缀的 dns 查询直接返回 127.0.0.1 。先这样跑着,看看客户的反馈。
alvinbone88
2021-11-09 18:36:06 +08:00
无责任猜测,应该是 ctldl.windowsupdate.com ,负责根证书更新和吊销的
还有个 crl.microsoft.com ,也有类似的功能
msmmbl
2021-11-10 09:33:17 +08:00
@alvinbone88 厉害啊,应该就是这个问题了。屏蔽 microsoft.com 后客户反馈 ok 了。但是长久来看,还是应该解除这样的访问屏蔽,让系统可以更新到根证书。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/813857

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX