Welcome! Log In Create A New Profile

Advanced

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Maxim Dounin
July 15, 2018 06:14PM
Hello!

On Sat, Jul 14, 2018 at 11:20:59PM -0400, Ilya Evseev wrote:

> Имеется конфигурация с ~500-600 сайтов, из них примерно 10% с поддержкой
> https, в остальных только http.
> wildcard-ключ с сертификатом указан в блоке "http".
>
> Обратил внимание, что "nginx -t" и "nginx -s reload" стали отрабатывать
> секунд по 10.
>
> Профайлер говорит, что 90% времени уходит на ngx_http_ssl_merge_srv_conf =>
> ngx_ssl_certificates,
> количество вызовов у них одинаковое.
>
> Переместил сертификат в блоки "server", где используется ssl - nginx стал
> читать конфигурацию в несколько раз быстрее.
>
> Какой смысл проверять сертификаты для серверов без https?
> Можно ли отключить такую проверку?

В силу исторических причин на уровне server{} в момент merge'а
конфигурации неизвестно, может ли в него попасть HTTPS-соединение,
или нет. Скажем, вот в такой конфигурации HTTPS-соединение может
попасть и в сервер foo, и в сервер bar, но nginx об этом знает
только в сервере foo:

server {
listen 443;
server_name foo;
ssl on;
}

server {
listen 443;
server_name bar;
}

Соответственно признаком для того, что нужно создавать
SSL-контекст и загружать сертификаты служит собственно наличие
сертфикатов. Если SSL-сертификат в данном сервере задан (или
унаследован с уровня http) - то SSL-контекст создаётся. Если не
задан - не создаётся.

Начиная с 1.15.0 nginx ругается на наличие директивы "ssl", и
предлагает вместо неё использовать "listen ... ssl". Когда мы её
окончательно запретим - возможно, дойдут руки и до оптимизации
создания SSL-контекстов, благо при использовании "listen ... ssl"
это получается сделать несколько проще.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ngx_ssl_certificates вызывается даже для сайтов без ssl

Ilya Evseev July 14, 2018 11:20PM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Maxim Dounin July 15, 2018 06:14PM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Ilya Evseev July 17, 2018 02:40AM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Илья Шипицин July 17, 2018 03:34AM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Maxim Dounin July 17, 2018 09:08AM

Re[2]: ngx ssl certificates вызывается даже для сайтов без ssl

vp7 July 18, 2018 06:12AM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Alex Vorona July 18, 2018 07:32AM

Re: ngx ssl certificates вызывается даже для сайтов без ssl

Maxim Dounin July 18, 2018 08:12AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 115
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready