Welcome! Log In Create A New Profile

Re: SSL lags

Forum List Message List New Topic Print View

Vladimir Getmanshchuk

November 28, 2018 12:50PM

Максим, спасибо за ответ!

Сертификат действительно от LetsEncrypt,
отключение ssl_dhparam не помогло, на подобном сервере тоже с LetsEncrypt
тем же curl:
time_connect: 0.010

Подскажите куда можно еще глянуть?
Могу прислать debug или strace или что еще...

On Wed, Nov 28, 2018 at 7:07 PM Maxim Dounin <mdounin@mdounin.ru> wrote:

> Hello!
>
> On Wed, Nov 28, 2018 at 06:20:12PM +0200, Vladimir Getmanshchuk wrote:
>
> > Странная ситуация с SSL - жуткий лаг на отдаче:
> >
> >
> > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X
> > GET -s -q http://1.1.1.1/google663dfea033864f54.html -o /dev/null
> >
> > time_connect: 0.000
> >
> > time_total: 0.001
> >
> >
> > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X
> > GET -s -q https://1.1.1.1/google663dfea033864f54.html --insecure -o
> > /dev/null
> >
> > time_connect: 0.000
> >
> > time_total: *0.106*
>
> В SSL есть операция SSL handshake, и в зависимости от используемых
> шифров и сертификатов - она может занимать как просто много
> времени, так и очень много времени. (Ну и поскольку curl между
> запусками не может сохранять ранее установленную сессию - каждый
> запуск будет требовать полного handshake'а.)
>
> В частности, если вдруг используется обмен ключами с помощью
> алгоритма Диффи-Хеллмана - будет тормозить. Особенно если задать
> параметры где-нибудь на 4096 бит. Смотрите внимательно, что
> именно за шифры у вас используются, и если DHE - то что именно у
> вас лежит в ssl_dhparam. Ну или просто уберите ssl_dhparam из
> конфига - по умолчанию nginx просто не будет использовать DHE.
>
> Кроме того, будет тормозить, если используются RSA-сертификаты
> больше 2048 бит. Смотрите, что за сертификат используется.
> RSA-сертификаты на 4096 бит - зачастую по умолчанию прилетают из
> модных и молодёжных инструментов получения сертификатов от
> LetsEncrypt, но малопригодны для работы web-сервера.
>
> --
> Maxim Dounin
> http://mdounin.ru/
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

--
Yours sincerely,
Vladimir Getmanshchuk
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
SSL lags	Vladimir Getmanshchuk	November 28, 2018 11:22AM
Re: SSL lags	Maxim Dounin	November 28, 2018 12:08PM
Re: SSL lags	Vladimir Getmanshchuk	November 28, 2018 12:50PM
Re: SSL lags	Maxim Dounin	November 28, 2018 02:10PM
Re: SSL lags	Vladimir Getmanshchuk	November 29, 2018 05:46AM
Re: SSL lags	Илья Шипицин	November 29, 2018 06:10AM
Re: SSL lags	Vladimir Getmanshchuk	November 29, 2018 06:56AM
Re: SSL lags	Илья Шипицин	November 29, 2018 10:02AM
Re: SSL lags	Skom	November 28, 2018 03:32PM
Re: SSL lags	Dmitry Morozovsky	November 28, 2018 04:44PM
Re: SSL lags	Sergey Kandaurov	November 28, 2018 04:48PM
Re: SSL lags	Maxim Dounin	November 29, 2018 09:34AM
Re: SSL lags	Sergey Kandaurov	November 29, 2018 10:04AM
Re: SSL lags	Maxim Dounin	November 29, 2018 09:20AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 243

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018