我们在系统前面有Nginx,后面我们代理到Apache.我们使用SSL / TLS进行连接.
题:
> Nginx是在性能/ SSL握手方面终止SSL / TLS连接的最佳选择吗?
>我是否正在进行所有必要的性能调整?我还能改进我的代码吗?
这是我的配置:
ssl_certificate /path/ssl.crt;
ssl_certificate_key /path/ssl.key;
ssl_dhparam /path/dh.pem;
ssl_buffer_size 4k;
ssl_session_timeout 4h;
ssl_session_cache shared:SSL:20m;
ssl_session_tickets on;
ssl_trusted_certificate /path/trust.crt;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
我使用Mozilla SSL Configuration Generator生成下面的密码.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
密码是为了容纳大多数浏览器.我也有Strict-Transport-Security设置.
我们的系统使用CloudFront在Amazon AWS上运行.目前,SSL Labs需要大约130秒才能运行测试. Pingdom显示一个请求的SSL连接至少需要220ms.
谢谢!
最佳答案
我在Nginx和incapsula中遇到了一些性能问题,我发现问题与使用的密码有关. Incapsula与DHE-RSA-AES128-SHA连接,在服务器上提供低性能和高负载.我在https://wiki.mozilla.org/Security/Server_Side_TLS中使用“中间列表”并使用密码进行了一些压力测试,并得到了有效的结果:
Cipher Worst response time
DHE-RSA-AES128-SHA 15.745s
DHE-RSA-AES256-SHA 15.271s
AES128-SHA 1.421s
AES256-SHA 1.765s
DES-CBC3-SHA 1.459s
所以你可以看到,DHE- *工作得很糟糕,但AES128-SHA工作正常.
因此,如果您认为存在性能问题,请使用几百或几千个连接构建压力测试,并将Nginx配置为仅使用一个密码.
您应该能够看到任何密码是否正在工作并尝试禁用它(不要忘记针对您的客户测试最终设置,或使用ssllabs test来查看您是否没有阻止您的用户)