Đàm phán bắt tay SSL trên Nginx cực kỳ chậm

Tôi đang sử dụng Nginx làm proxy cho 4 trường hợp apache. Vấn đề của tôi là đàm phán SSL mất rất nhiều thời gian (600 ms). Xem đây là một ví dụ: http://www.webpagetest.org/result/101020_8JXS/1/details/

Đây là Nginx Conf của tôi:

user www-data;
worker_processes  4;


events {
    worker_connections 2048;
    use epoll;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    access_log  /var/log/nginx/access.log;
    sendfile        on;
    keepalive_timeout  0;
    tcp_nodelay        on;
    gzip  on;
    gzip_proxied any;
    server_names_hash_bucket_size 128;


}

upstream abc {
     server 1.1.1.1 weight=1;
     server 1.1.1.2 weight=1;
     server 1.1.1.3 weight=1;


 }


server {
    listen   443;
    server_name  blah;

    keepalive_timeout 5;

    ssl  on;
    ssl_certificate  /blah.crt;
    ssl_certificate_key  /blah.key;
    ssl_session_cache  shared:SSL:10m;
    ssl_session_timeout  5m;
    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    location / { proxy_pass http://abc;

                 proxy_set_header X-Real-IP  $remote_addr;
                 proxy_set_header Host $host;
                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

Máy là VPS trên Linode với RAM 1 G. Bất cứ ai có thể xin vui lòng cho biết tại sao SSL Hand lắc mất nhiều thời gian?

Bạn cần phải vô hiệu hóa mật mã "phù du diffie-hellman". Các trình duyệt không sử dụng chúng, nhưng openSSL sẽ được sử dụng với các công cụ như cURL hoặc apachebench. Vì vậy, tôi cá cược rằng webpagetest.org đang sử dụng chúng.

Xem chủ đề này để biết thêm chi tiết.

Cá nhân tôi sử dụng các cài đặt này trong nginx để buộc các mật mã SSL nhanh nhất nhưng vẫn an toàn dựa trên tùy chọn của máy chủ chứ không phải các trình duyệt:

Cập nhật 2014-01-13: Lời khuyên này đã thay đổi khi có các cuộc tấn công gần đây vào RC4, các bản cập nhật trình duyệt bảo vệ chống lại BEAST và tính khả dụng rộng rãi hơn của TLS v1.2 trong máy khách và máy chủ.

Đã cập nhật 2015-10-16: cài đặt TLS nginx hiện tại 2015-10-16 theo khuyến nghị của CloudFlare . Vui lòng kiểm tra liên kết tiến hành để cập nhật, vì TLSv1 có thể sẽ bị xóa khỏi cấu hình được đề xuất tại một số điểm. Các cài đặt hiện tại vô hiệu hóa SSLv3 và RC4 theo thông lệ tốt nhất hiện tại và PCI-DSS mới nhất kể từ ngày này.

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers   on;

Điều này thay thế cho lời khuyên trước đó trong câu trả lời này, đã được gỡ bỏ để tránh bị đốt cháy.

Bạn có thể không có một nguồn entropy tốt. Có /dev/urandomtồn tại? Nếu không Nginx sẽ chặn đọc /dev/random.

Kích thước của chìa khóa của bạn là gì? Lâu hơn là chậm hơn.

Hãy thử straceing các quy trình để xem những gì họ đang làm.

kiểm tra xem bạn không chờ đợi độ phân giải DNS ở đâu đó.

Thay đổi

ssl_protocols  SSLv2 SSLv3 TLSv1;

đến

ssl_protocols  SSLv3 TLSv1 SSLv2;

Thử các giao thức theo thứ tự mà chúng được liệt kê.