Nginx पर SSL हैंडशेक वार्ता बहुत धीमी गति से

मैं 4 Apache उदाहरणों के लिए प्रॉक्सी के रूप में Nginx का उपयोग कर रहा हूं। मेरी समस्या यह है कि एसएसएल बातचीत में बहुत समय (600 एमएस) लगता है। इसे एक उदाहरण के रूप में देखें: http://www.webpagetest.org/result/101020_8JXS/1/3/etetet/

यहाँ मेरा Nginx Conf है:

user www-data;
worker_processes  4;


events {
    worker_connections 2048;
    use epoll;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    access_log  /var/log/nginx/access.log;
    sendfile        on;
    keepalive_timeout  0;
    tcp_nodelay        on;
    gzip  on;
    gzip_proxied any;
    server_names_hash_bucket_size 128;


}

upstream abc {
     server 1.1.1.1 weight=1;
     server 1.1.1.2 weight=1;
     server 1.1.1.3 weight=1;


 }


server {
    listen   443;
    server_name  blah;

    keepalive_timeout 5;

    ssl  on;
    ssl_certificate  /blah.crt;
    ssl_certificate_key  /blah.key;
    ssl_session_cache  shared:SSL:10m;
    ssl_session_timeout  5m;
    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    location / { proxy_pass http://abc;

                 proxy_set_header X-Real-IP  $remote_addr;
                 proxy_set_header Host $host;
                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

मशीन 1 G RAM के साथ Linode पर एक VPS है। क्या कोई बता सकता है कि एसएसएल हैंड शेक उम्र क्यों ले रहा है?

आपको "अल्पकालिक डिफी-हेलमैन" सिफर को अक्षम करने की आवश्यकता है। ब्राउज़र वैसे भी उनका उपयोग नहीं करते हैं, लेकिन जब CURL या अपाचेबेन्च जैसे टूल के साथ उपयोग किया जाता है तो ओपनएसएसएल होगा। इसलिए मैं शर्त लगा रहा हूं कि webpagetest.org उनका उपयोग कर रहा है।

देखें इस सूत्र अधिक जानकारी के लिए।

मैं व्यक्तिगत रूप से सर्वर की प्राथमिकताओं के आधार पर सबसे तेज़ लेकिन फिर भी सुरक्षित एसएसएल सिफर्स को मजबूर करने के लिए नगनेक्स में इन सेटिंग्स का उपयोग करता हूं, न कि ब्राउज़र:

अद्यतन 2014-01-13: इस सलाह ने RC4 पर हाल के हमलों, ब्राउज़र अपडेट जो BEAST से रक्षा करते हैं, और ग्राहकों और सर्वरों में TLS v1.2 की अधिक व्यापक उपलब्धता को बदल दिया है।

2015-10-16 अपडेट किया गया: CloudFlare द्वारा अनुशंसित वर्तमान nginx TLS सेटिंग 2015-10-16 । कृपया अद्यतनों के लिए पूर्ववर्ती लिंक की जाँच करें, क्योंकि TLSv1 संभवतः कुछ बिंदु पर अनुशंसित कॉन्फ़िगरेशन से हटा दिया जाएगा। वर्तमान सेटिंग्स इस समय के अनुसार SSLV3 और RC4 को वर्तमान सर्वश्रेष्ठ अभ्यास और नवीनतम PCI-DSS के अनुसार अक्षम करती हैं।

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers   on;

यह इस उत्तर में पहले की सलाह देता है, जिसे दहन से बचने के लिए हटा दिया गया है।

आपके पास एक अच्छा एंट्रोपी स्रोत नहीं हो सकता है। है /dev/urandomमौजूद हैं? नहीं तो Nginx पढ़ने पर रोक देगा /dev/random।

आपकी कुंजी का आकार क्या है? लम्बा पतला होता है।

straceप्रक्रियाओं को देखने की कोशिश करें कि वे क्या कर रहे हैं।

जांचें कि आप DNS रिज़ॉल्यूशन पर कहीं प्रतीक्षा नहीं कर रहे हैं।

परिवर्तन

ssl_protocols  SSLv2 SSLv3 TLSv1;

सेवा

ssl_protocols  SSLv3 TLSv1 SSLv2;

क्रम में प्रोटोकॉल की कोशिश करता है कि वे सूचीबद्ध हैं।