Un SXG es un mecanismo de entrega que permite autenticar el origen de un recurso independientemente de cómo se entregó.
Los intercambios firmados (SXG) son un mecanismo de publicación que permite autenticar el origen de un recurso independientemente de cómo se haya publicado. La implementación de SXG puede mejorar la métrica Largest Contentful Paint (LCP) habilitando la carga previa de origen cruzado que preserva la privacidad. Además, esta desvinculación avanza en una variedad de casos de uso, como las experiencias de Internet sin conexión y la publicación desde cachés de terceros.
En este artículo, se proporciona una descripción general integral de SXG: cómo funciona, casos de uso y herramientas.
Compatibilidad del navegador
Los navegadores basados en Chromium admiten SXG (a partir de las versiones Chrome 73, Edge 79 y Opera 64).
Descripción general
Como caso de uso principal, SXG usa una caché para la carga previa y la publicación de contenido que el origen firmó de forma criptográfica. Esto ayuda a acelerar las navegaciones entre orígenes desde los sitios de referencia y, al mismo tiempo, garantiza que las páginas no se modifiquen y se atribuyan correctamente a su origen. Toda la información potencialmente identificadora se oculta hasta que el usuario navega a un sitio, lo que protege su privacidad. La Búsqueda de Google es uno de los primeros usuarios en adoptar las capacidades de precarga de SXG y, para los sitios que reciben una gran parte de su tráfico de la Búsqueda de Google, SXG puede ser una herramienta importante para ofrecer cargas de páginas más rápidas a los usuarios. Con el tiempo, esperamos que este impacto se extienda a otros referers.
Cómo funciona
Un sitio firma un par de solicitud/respuesta (un "intercambio HTTP") de una manera que le permite al navegador verificar el origen y la integridad del contenido independientemente de cómo se haya distribuido. Como resultado, el navegador puede mostrar la URL del sitio de origen en la barra de direcciones, en lugar de la URL del servidor que entregó el contenido.
Históricamente, la única forma de que un sitio use un tercero para distribuir su contenido y, al mismo tiempo, mantener la atribución era que el sitio compartiera sus certificados SSL con el distribuidor. Esto tiene inconvenientes de seguridad. Además, está muy lejos de hacer que el contenido sea realmente portátil.
El formato SXG
Un SXG se encapsula en un archivo codificado en formato binario que tiene dos componentes principales: un intercambio HTTP y una firma que abarca el intercambio. El intercambio HTTP consta de una URL de solicitud, información de negociación de contenido y una respuesta HTTP.
format version: 1b3
request:
method: GET
uri: https://example.org/
headers:
response:
status: 200
headers:
Cache-Control: max-age=604800
Digest: mi-sha256-03=kcwVP6aOwYmA/j9JbUU0GbuiZdnjaBVB/1ag6miNUMY=
Expires: Mon, 24 Aug 2020 16:08:24 GMT
Content-Type: text/html; charset=UTF-8
Content-Encoding: mi-sha256-03
Date: Mon, 17 Aug 2020 16:08:24 GMT
Vary: Accept-Encoding
signature:
label;cert-sha256=<em>ViFgi0WfQ+NotPJf8PBo2T5dEuZ13NdZefPybXq/HhE=</em>;
cert-url="https://test.web.app/ViFgi0WfQ-NotPJf8PBo2T5dEuZ13NdZefPybXq_HhE";
date=1597680503;expires=1598285303;integrity="digest/mi-sha256-03";sig=<em>MEUCIQD5VqojZ1ujXXQaBt1CPKgJxuJTvFlIGLgkyNkC6d7LdAIgQUQ8lC4eaoxBjcVNKLrbS9kRMoCHKG67MweqNXy6wJg=</em>;
validity-url="https://example.org/webpkg/validity"
header integrity: sha256-Gl9bFHnNvHppKsv+bFEZwlYbbJ4vyf4MnaMMvTitTGQ=</p>
<p>The exchange has a valid signature.
payload [1256 bytes]:</p>
<pre class="prettyprint"><code><title>SXG example</title>
<meta charset="utf-8">
<meta http-equiv="Content-type" content="text/html; charset=utf-8">
<style type="text/css">
body {
background-color: #f0f0f2;
margin: 0;
padding: 0;
}
</style>
</code></pre>
<div>
<h1>Hello</h1>
</div>
<p>El parámetro expires en la firma indica la fecha de vencimiento de un SXG. Un SXG puede ser válido durante un máximo de 7 días. Obtén más información sobre el encabezado de firma en la especificación de intercambios HTTP firmados.
Compatibilidad con la personalización del servidor
Un SXG que contenga un encabezado Vary: Cookie solo se mostrará a los usuarios que no tengan cookies para la URL de solicitud firmada. Si tu sitio presenta diferentes HTML a los usuarios que accedieron a sus cuentas, puedes usar esta función para aprovechar SXG sin alterar esa experiencia. Consulta los detalles sobre la personalización del servidor con SXG dinámico.
Empaquetado web
SXG forma parte de la familia de propuestas de especificaciones más amplias de Web Packaging. Además de los SXG, el otro componente principal de la especificación de Web Packaging son los Web Bundles ("intercambios HTTP agrupados"). Los paquetes web son una colección de recursos HTTP y los metadatos necesarios para interpretar el paquete.
La relación entre los SXG y los paquetes web es un punto de confusión común. SXG y los paquetes web son dos tecnologías distintas que no dependen entre sí: los paquetes web se pueden usar con intercambios firmados y sin firmar. Un objetivo común que promueven los SXG y los paquetes web es la creación de un formato de "empaquetado web" que permita compartir los sitios por completo para el consumo sin conexión.
Cómo acelerar las cargas de páginas con intercambios firmados
Habilitar los intercambios firmados puede ayudar a acelerar el rendimiento de las páginas web y, por lo tanto, afectar las Métricas web esenciales de tu sitio, en particular, el Procesamiento de imagen con contenido más grande (LCP). Como usuario pionero, la Búsqueda de Google usa SXG para proporcionar a los usuarios una experiencia de carga de páginas más rápida para las páginas cargadas desde la página de resultados de la búsqueda.
La Búsqueda de Google rastrea y almacena en caché los SXG cuando están disponibles y precarga los SXG que es probable que el usuario visite, por ejemplo, la página correspondiente al primer resultado de la búsqueda.
SXG funciona mejor en conjunto con otras optimizaciones de rendimiento, como el uso de CDN y la reducción de subrecursos que bloquean la renderización. Después de la implementación, sigue estas recomendaciones para maximizar el beneficio de la LCP de la precarga de SXG. En muchos casos, esta optimización puede generar cargas de páginas casi instantáneas provenientes de la Búsqueda de Google:
Impacto de los intercambios firmados
En experimentos anteriores, observamos una reducción promedio de entre 300 ms y 400 ms en el LCP a partir de la precarga habilitada para SXG. Esto ayuda a los sitios a causar una mejor primera impresión en los usuarios y, a menudo, tiene un impacto positivo en las métricas comerciales.
Varias marcas y sitios globales ya se beneficiaron de los intercambios firmados. Como caso de éxito, veamos cómo la implementación de intercambios firmados ayudó a RebelMouse, un sistema de administración de contenido (CMS) destacado, a mejorar el rendimiento y las métricas comerciales de sus clientes:
- Narcity mejoró la LCP en un 41%
- Paper Magazine registró un aumento del 27% en las sesiones por usuario.
- El blog de MLT redujo el tiempo de carga de la página en un 21%.
Cloudflare descubrió que las SXG mejoraron el TTFB en el 98% de los sitios que probó y mejoraron el LCP en el 85% de los sitios, con una mejora promedio de más del 20% en las cargas de páginas aptas para SXG.
Indexación
Las representaciones de una página en SXG y no SXG no se clasifican ni indexan de manera diferente en la Búsqueda de Google. En última instancia, SXG es un mecanismo de publicación, no cambia el contenido subyacente.
AMP
El contenido de AMP se puede enviar con SXG. Los SXG permiten que el contenido de AMP se precargue y se muestre con su URL canónica, en lugar de su URL de AMP. AMP tiene sus propias herramientas independientes para generar SXG. Obtén información para publicar AMP con intercambios firmados en amp.dev.
Cómo depurar SXG con las Herramientas para desarrolladores de Chrome
Para ver un SXG de primera mano, usa un navegador Chromium, abre DevTools, abre el panel Network y visita esta página de búsqueda de ejemplo. Los intercambios firmados se pueden identificar buscando signed-exchange en la columna Tipo.
La pestaña Vista previa proporciona más información sobre el contenido de un SXG.
Herramientas
Implementar SXG consiste en generar el SXG correspondiente a una URL determinada y, luego, entregar ese SXG a los solicitantes (generalmente rastreadores).
Certificados
Para generar un SXG, necesitarás un certificado que pueda firmar SXG, aunque algunas herramientas los adquieren automáticamente. En esta página, se enumeran las autoridades certificadoras que pueden emitir este tipo de certificado. Los certificados se pueden obtener automáticamente de la autoridad certificadora de Google con cualquier cliente de ACME. Web Packager Server tiene un cliente ACME integrado, y sxg-rs lo tendrá pronto.
Herramientas de SXG específicas de la plataforma
Estas herramientas admiten pilas de tecnología específicas. Si ya usas una plataforma compatible con una de estas herramientas, es posible que te resulte más fácil configurarla que una herramienta de uso general.
sxg-rs/cloudflare_workerse ejecuta en Cloudflare Workers.sxg-rs/fastly_computese ejecuta en Fastly Compute@Edge.Los intercambios firmados automáticos son una función de Cloudflare que adquiere certificados automáticamente y genera intercambios firmados.
El módulo SXG de NGINX genera y entrega SXG para sitios que usan nginx. Puedes encontrar las instrucciones de configuración aquí.
El filtro de SXG de Envoy genera y entrega SXG para sitios que usan Envoy.
Herramientas SXG de uso general
Servidor HTTP de sxg-rs
sxg-rs http_server actúa como un proxy inverso para entregar SXG. En el caso de las solicitudes de rastreadores de SXG, http_server firmará las respuestas del backend y responderá con un SXG. Para obtener instrucciones de instalación, consulta el archivo README.
Servidor de empaquetador web
El servidor de Web Packager, webpkgserver, es una alternativa a sxg-rs http_server, escrito en Go. Para obtener instrucciones sobre cómo configurar el servidor de Web Packager, consulta Cómo configurar intercambios firmados con Web Packager.
CLI de Web Packager
La CLI de Web Packager genera un SXG correspondiente a una URL determinada.
webpackager \
--private\_key=private.key \
--cert\_url=https://example.com/certificate.cbor \
--url=https://example.com
Una vez que se haya generado el archivo SXG, súbelo a tu servidor y publícalo con el tipo de MIME application/signed-exchange;v=b3. Además, deberás
publicar el certificado SXG como application/cert-chain+cbor.
Bibliotecas SXG
Estas bibliotecas se pueden usar para compilar tu propio generador SXG:
sxg_rses una biblioteca de Rust para generar SXG. Es la biblioteca de SXG más destacada y se usa como base para las herramientascloudflare_workeryfastly_compute.libsxges una biblioteca C mínima para generar SXG. Se usa como base para el módulo NGINX SXG y el filtro Envoy SXG.go/signed-exchangees una biblioteca mínima de Go que proporciona la especificación de webpackage como una implementación de referencia para generar SXG. Se usa como base para su herramienta de CLI de referencia,gen-signedexchange, y las herramientas de Web Packager con más funciones.
Negociación de contenido
Los servidores deben entregar SXG cuando el encabezado Accept indica que el valor de q para application/signed-exchange es mayor o igual que el valor de q para text/html. En la práctica, esto significa que un servidor de origen publicará SXG para los rastreadores, pero no para los navegadores. Muchas de las herramientas anteriores lo hacen de forma predeterminada, pero para otras herramientas, se puede usar la siguiente expresión regular para que coincida con el encabezado Accept de las solicitudes que se deben entregar como SXG:
http
Accept: /(^|,)\s\*application\/signed-exchange\s\*;\s\*v=[[:alnum:]\_-]+\s\*(,|$)/
Esta recomendación incluye ejemplos para Apache y nginx.
API de Update Cache
La caché de SXG de Google tiene una API que los propietarios de sitios pueden usar para quitar los SXG de la caché antes de que venzan debido a Cache-Control: max-age. Consulta la referencia de la API de actualización de caché para obtener más detalles.
Vincula con SXG
Cualquier sitio puede almacenar en caché, publicar y precargar SXG de las páginas a las que vincula, cuando estén disponibles, con las etiquetas y :
html
<a href="https://example.com/article.html.sxg">
<link rel="prefetch" as="document" href="https://example.com/article.html.sxg">
En este artículo, se muestra cómo usar nginx para distribuir SXG.
Ventajas únicas
SXG es una de las muchas tecnologías posibles para habilitar la carga previa entre orígenes. A la hora de decidir qué tecnología usar, es posible que debas sacrificar la optimización de distintos aspectos. En las siguientes secciones, se ilustran algunos de los valores únicos que proporciona SXG en el espacio de soluciones posibles. Estos factores pueden cambiar con el tiempo a medida que evoluciona el espacio de soluciones disponibles.
Menos solicitudes para publicar
Con la precarga entre sitios, es posible que tu servidor deba entregar solicitudes adicionales. Esto corresponde a los casos en los que se precargó una página, pero el usuario no la visitó o no se pudieron mostrar los bytes precargados. En el caso de SXG, estas solicitudes adicionales sin usar se pueden reducir significativamente:
- Los SXG se almacenan en caché y se pueden enviar a los usuarios hasta que venzan. Por lo tanto, solo el servidor de caché puede controlar muchas cargas previas.
- Los SXG se pueden mostrar a los usuarios con o sin cookies en tu sitio. Por lo tanto, habrá menos ocasiones en las que se deba volver a recuperar la página después de la navegación.
Mejora de la velocidad de la página
Es posible que observes una mejora adicional en la velocidad de la página debido a las plataformas y capacidades de precarga que admite actualmente:
- Los SXG se pueden mostrar a los usuarios que tengan cookies para tu sitio.
- SXG también realiza una carga previa de los subrecursos para tus páginas, como JavaScript, CSS, imágenes y fuentes, cuando se especifica con un encabezado
Link. - Próximamente, la carga previa de SXG desde la Búsqueda de Google estará disponible en más tipos de resultados de búsqueda.
Conclusión
Los intercambios firmados son un mecanismo de publicación que permite verificar el origen y la validez de un recurso independientemente de cómo se haya publicado. Como resultado, los SXG se pueden distribuir a través de terceros y, al mismo tiempo, mantener la atribución completa del publicador.