Welcome! Log In Create A New Profile

Advanced

Re: SSL lags

Vladimir Getmanshchuk
November 28, 2018 12:50PM
Максим, спасибо за ответ!

Сертификат действительно от LetsEncrypt,
отключение ssl_dhparam не помогло, на подобном сервере тоже с LetsEncrypt
тем же curl:
time_connect: 0.010

Подскажите куда можно еще глянуть?
Могу прислать debug или strace или что еще...

On Wed, Nov 28, 2018 at 7:07 PM Maxim Dounin <mdounin@mdounin.ru> wrote:

> Hello!
>
> On Wed, Nov 28, 2018 at 06:20:12PM +0200, Vladimir Getmanshchuk wrote:
>
> > Странная ситуация с SSL - жуткий лаг на отдаче:
> >
> >
> > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X
> > GET -s -q http://1.1.1.1/google663dfea033864f54.html -o /dev/null
> >
> > time_connect: 0.000
> >
> > time_total: 0.001
> >
> >
> > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X
> > GET -s -q https://1.1.1.1/google663dfea033864f54.html --insecure -o
> > /dev/null
> >
> > time_connect: 0.000
> >
> > time_total: *0.106*
>
> В SSL есть операция SSL handshake, и в зависимости от используемых
> шифров и сертификатов - она может занимать как просто много
> времени, так и очень много времени. (Ну и поскольку curl между
> запусками не может сохранять ранее установленную сессию - каждый
> запуск будет требовать полного handshake'а.)
>
> В частности, если вдруг используется обмен ключами с помощью
> алгоритма Диффи-Хеллмана - будет тормозить. Особенно если задать
> параметры где-нибудь на 4096 бит. Смотрите внимательно, что
> именно за шифры у вас используются, и если DHE - то что именно у
> вас лежит в ssl_dhparam. Ну или просто уберите ssl_dhparam из
> конфига - по умолчанию nginx просто не будет использовать DHE.
>
> Кроме того, будет тормозить, если используются RSA-сертификаты
> больше 2048 бит. Смотрите, что за сертификат используется.
> RSA-сертификаты на 4096 бит - зачастую по умолчанию прилетают из
> модных и молодёжных инструментов получения сертификатов от
> LetsEncrypt, но малопригодны для работы web-сервера.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru



--
Yours sincerely,
Vladimir Getmanshchuk
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

SSL lags

Vladimir Getmanshchuk November 28, 2018 11:22AM

Re: SSL lags

Maxim Dounin November 28, 2018 12:08PM

Re: SSL lags

Vladimir Getmanshchuk November 28, 2018 12:50PM

Re: SSL lags

Maxim Dounin November 28, 2018 02:10PM

Re: SSL lags

Vladimir Getmanshchuk November 29, 2018 05:46AM

Re: SSL lags

Илья Шипицин November 29, 2018 06:10AM

Re: SSL lags

Vladimir Getmanshchuk November 29, 2018 06:56AM

Re: SSL lags

Илья Шипицин November 29, 2018 10:02AM

Re: SSL lags

Skom November 28, 2018 03:32PM

Re: SSL lags

Dmitry Morozovsky November 28, 2018 04:44PM

Re: SSL lags

Sergey Kandaurov November 28, 2018 04:48PM

Re: SSL lags

Maxim Dounin November 29, 2018 09:34AM

Re: SSL lags

Sergey Kandaurov November 29, 2018 10:04AM

Re: SSL lags

Maxim Dounin November 29, 2018 09:20AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 83
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready