Попробуйте stapling включить On Thu, Apr 8, 2021, 2:28 PM raven...@megaline.kg <raven...@megaline.kg> wrote:
> Доброго дня! > > nginx 1.18.0, собран с OpenSSL 1.1.1c FIPS. > > Замечено, что по https отдача первого байта происходит на 200мс дольше. > > > # curl -s -o /dev/null -w "Connect: %{time_connect} TTFB: > %{time_starttransfer} Total time: %{time_total} \n" https:// > <domain>/robots.txt > Connect: 0,101801 TTFB: 0,424129 Total time: 0,424269 > # curl -s -o /dev/null -w "Connect: %{time_connect} TTFB: > %{time_starttransfer} Total time: %{time_total} \n" http:// > <domain>/robots.txt > Connect: 0,099435 TTFB: 0,196609 Total time: 0,196732 > > > Для меня не новость, что SSL требует время для шифрования, но не > слишком-ли много? Ниже выдержки из конфига со всем, что касается SSL: > > > ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; > > ssl_ciphers > ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA; > > ssl_prefer_server_ciphers off; > ssl_session_cache shared:SSLCache:16m; > ssl_session_timeout 10m; > ssl_session_tickets off; > ssl_dhparam /etc/nginx/ssl/dh1024.pem; > ssl_ecdh_curve secp384r1; > ssl_buffer_size 16k; > > server { > > listen :80 fastopen=256; > > listen :443 fastopen=256 ssl; #http2 > > ssl_certificate_key /etc/nginx/ssl/<domain>.key; > ssl_certificate /etc/nginx/ssl/<domain>.pem; > ssl_stapling on; > ssl_stapling_verify on; > ssl_trusted_certificate /etc/nginx/ssl/<domain>.pem; > > ... > > } > > > _______________________________________________ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru