Спасибо большое за ответ.
Потестил с параметрами:
ssl_session_tickets off;
ssl_session_ticket_key /etc/nginx/ssl/ticket.key;
И довольно интересно получилось:
http://joxi.net/krD6q0jTKkV9R2.jpg
На картинке числами отмечены reload'ы
1,2,6,7,10 - без настроек tickets (по умоланию включен)
3,4,5,8,9 - с отключенным tickets и файлом ssl_session_ticket_key.
При этом всегда был включен кэш сессий:
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 30m;
Пока сделал вывод, что с отключенным ssl_session_tickets средняя
нагрузка выше, но при этом при reload'e нагрузка не так сильно
возрастает по отношению к средней. Тесты не совсем чистые, постараюсь
сделать более чистый эксперимент.
On 02/09/2019 16:55, Maxim Dounin wrote:
> Hello!
>
> On Sat, Aug 31, 2019 at 12:54:06PM +0500, Dmitry Sergeev wrote:
>
>> Добрый день!
>> Спасибо за ответ.
>>
>> Конфиг полный, просто сократил количетсво виртуальных хостов, так как они одинаковые.
> В конфиге значилось:
>
> include /etc/nginx/conf.d/*.conf;
> include /etc/nginx/sites-enabled/*;
>
> Так что понять по нему, полный он, или нет - не представляется
> возможным, отсюда и вопросы.
>
>> ssl_session_cache - действительно не настроено.
>> ssl_dhparam - аналогично.
>> сертификат один общий для всех, сгенерировал его для wildcard домена от let's encrypt (Signature Algorithm: sha256WithRSAEncryption, Public-Key: rsaEncryption (2048 bit)).
>>
>> Пытался оптимизировать ssl и посмотреть влияние его настроек на эту проблему. В частности пробовал глобально добавлять опции:
>>
>> *ssl_session_cache shared:SSL:20m;*
>> *ssl_session_timeout 30m; *вроде никак не влияло, но я проверю еще раз конечно, и более чательно.
> Если большая часть клиентов использует тикеты - то может и не
> повлиять. Для теста можно попробовать отключить тикеты
> (ssl_session_tickets) и/или настроить внешний ключ
> (ssl_session_ticket_key), так как автоматически сгенерированные
> ключи при reload'е обновляются.
>
>> Про ssl_dhparam не понял, с точки зрения производительности -
>> его лучше добавлять но с небольшой битностью (2048 и меньше) или
>> лучше совсем не использовать?
> Лучше - не использовать. Даже 2048 для классического
> Диффи-Хеллмана - это очень медленно.
>
--
Kind regards
Dmitry Sergeev
Tel: +7 (951) 129-75-72
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru