提升NginxTLS/SSL HTTPS 效能的7條優化建議
阿新 • • 發佈:2021-02-05
自2018年7月起,谷歌瀏覽器開始將“ HTTP”網站標記為“不安全”。在過去的幾年中,網際網路已經迅速過渡到HTTPS,Chrome瀏覽器的流量超過70%,並且Web排名前100位的網站中有80多個現在預設使用HTTPS 當前Nginx作為最常見的伺服器,廣泛用於負載均衡(LB)、閘道器、反向代理。考慮到這一點,讓我們看一下Nginx調優技巧,改善Nginx + HTTPS的效能以獲得更好的TTFB和更少的延遲。
![提升Nginx SSL/HTTPS效能的7條建議](https://p3-tt.byteimg.com/origin/dfic-imagehandler/0f5b86a5-a1d0-4d4e-a386-43fa9dbda992?from=pc)
HTTPS 優化
# 1\. 開啟 HTTP/2
HTTP/2最初是在Nginx版本1.9.5中實現的,以取代spdy。在Nginx上啟用HTTP/2模組很簡單。
原先的配置:
```
listen 443 ssl;
```
修改為:
```
listen 443 ssl http2;
```
可以通過curl來驗證:
```
curl --http2 -I https://domain.com/
```
# 2\. 開啟 SSL session 快取
啟用 SSL Session 快取可以減少 TLS 的反覆驗證,減少 TLS 握手。 1M 的記憶體就可以快取 4000 個連線,非常划算,現在記憶體便宜,儘量開啟。
```
ssl_session_cache shared:SSL:50m; # 1m 4000個,
ssl_session_timeout 1h; # 1小時過期 1 hour during which sessions can be re-used.
```
# 3\. 禁用 SSL session tickets
由於Nginx中尚未實現SSL session tickets,可以關閉。
```
ssl_session_tickets off;
```
# 4\. 禁用 TLS version 1.0
1.3已經出來。1.0可以丟進歷史垃圾堆
```
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
```
修改為
```
ssl_protocols TLSv1.2 TLSv1.3;
```
# 5\. 啟用OCSP Stapling
如果不啟用 OCSP Stapling 的話,在使用者連線你的伺服器的時候,需要去驗證證書,這個驗證證書的時間不可控,我們開啟OCSP Stapling後,可以省掉這一步。
```
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/full_chain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
```
# 6\. 減小ssl buffer size
ssl_buffer_size 控制在傳送資料時的 buffer 大小,預設情況下,緩衝區設定為16k,為了最大程度地減少TTFB(至第一個位元組的時間),最好使用較小的值,這樣TTFB可以節省大約30 – 50ms。
```
ssl_buffer_size 4k;
```
# 7\. 調整 Cipher 優先順序
更新更快的 Cipher放前面,這樣延遲更小。
```
# 手動啟用 cipher 列表
ssl_prefer_server_ciphers on; # prefer a list of ciphers to prevent old and slow ciphers
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+ED