Максим, спасибо за ответ! Сертификат действительно от LetsEncrypt, отключение ssl_dhparam не помогло, на подобном сервере тоже с LetsEncrypt тем же curl: time_connect: 0.010
Подскажите куда можно еще глянуть? Могу прислать debug или strace или что еще... On Wed, Nov 28, 2018 at 7:07 PM Maxim Dounin <[email protected]> wrote: > Hello! > > On Wed, Nov 28, 2018 at 06:20:12PM +0200, Vladimir Getmanshchuk wrote: > > > Странная ситуация с SSL - жуткий лаг на отдаче: > > > > > > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X > > GET -s -q http://1.1.1.1/google663dfea033864f54.html -o /dev/null > > > > time_connect: 0.000 > > > > time_total: 0.001 > > > > > > # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X > > GET -s -q https://1.1.1.1/google663dfea033864f54.html --insecure -o > > /dev/null > > > > time_connect: 0.000 > > > > time_total: *0.106* > > В SSL есть операция SSL handshake, и в зависимости от используемых > шифров и сертификатов - она может занимать как просто много > времени, так и очень много времени. (Ну и поскольку curl между > запусками не может сохранять ранее установленную сессию - каждый > запуск будет требовать полного handshake'а.) > > В частности, если вдруг используется обмен ключами с помощью > алгоритма Диффи-Хеллмана - будет тормозить. Особенно если задать > параметры где-нибудь на 4096 бит. Смотрите внимательно, что > именно за шифры у вас используются, и если DHE - то что именно у > вас лежит в ssl_dhparam. Ну или просто уберите ssl_dhparam из > конфига - по умолчанию nginx просто не будет использовать DHE. > > Кроме того, будет тормозить, если используются RSA-сертификаты > больше 2048 бит. Смотрите, что за сертификат используется. > RSA-сертификаты на 4096 бит - зачастую по умолчанию прилетают из > модных и молодёжных инструментов получения сертификатов от > LetsEncrypt, но малопригодны для работы web-сервера. > > -- > Maxim Dounin > http://mdounin.ru/ > _______________________________________________ > nginx-ru mailing list > [email protected] > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Yours sincerely, Vladimir Getmanshchuk
_______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
