Hello!

On Sat, Aug 31, 2019 at 12:54:06PM +0500, Dmitry Sergeev wrote:

> Добрый день!
> Спасибо за ответ.
> 
> Конфиг полный, просто сократил количетсво виртуальных хостов, так как они 
> одинаковые.

В конфиге значилось:

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;

Так что понять по нему, полный он, или нет - не представляется 
возможным, отсюда и вопросы.

> ssl_session_cache - действительно не настроено.
> ssl_dhparam - аналогично.
> сертификат один общий для всех, сгенерировал его для wildcard домена от let's 
> encrypt (Signature Algorithm: sha256WithRSAEncryption, Public-Key: 
> rsaEncryption (2048 bit)).
> 
> Пытался оптимизировать ssl и посмотреть влияние его настроек на эту проблему. 
> В частности пробовал глобально добавлять опции:
> 
> *ssl_session_cache shared:SSL:20m;*
> *ssl_session_timeout 30m; *вроде никак не влияло, но я проверю еще раз 
> конечно, и более чательно.

Если большая часть клиентов использует тикеты - то может и не 
повлиять.  Для теста можно попробовать отключить тикеты 
(ssl_session_tickets) и/или настроить внешний ключ 
(ssl_session_ticket_key), так как автоматически сгенерированные 
ключи при reload'е обновляются.

> Про ssl_dhparam не понял, с точки зрения производительности - 
> его лучше добавлять но с небольшой битностью (2048 и меньше) или 
> лучше совсем не использовать?

Лучше - не использовать.  Даже 2048 для классического 
Диффи-Хеллмана - это очень медленно.

-- 
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Ответить