Wie kann der Aufbau einer SSL-Verbindung beschleunigt werden?

tag-icon tag-icon linux apache-http-server ssl openssl
Wie kann der Aufbau einer SSL-Verbindung beschleunigt werden?

Ich habe auf meinem Linux-PC ein OpenSSL-Setup mit Apache2.

NEIN, ich habe die DNS-Auflösung nicht aktiviert. Ich habe das Zertifikat LOKAL auf dem Computer.

Die Chrome-Entwicklertools sagen mir jedoch, dass Initial Connection took 1.64 s… Das ist für mich eine lange Wartezeit, wenn es darum geht, die Seite nach Ablauf einer bestimmten Zeit zu aktualisieren.

Wie kann man das beschleunigen oder ist es so vorgesehen?

PS:Ich verwende das kostenlose SSL von StartCom.

Antwort1

Es gibt mehrere Bereiche, in denen die SSL-Verbindung (und die allgemeine Latenz des SSL-Verkehrs) verbessert werden kann. Einige dieser Bereiche können die Sicherheit geringfügig oder erheblich beeinträchtigen.

(Diese sind für ssl.conf mit Apache)

Deaktivieren Sie die Domänensuche und erlauben Sie Nicht-SNI, die primäre Domäne zu erreichen

  • SSLStrictSNIVHostAbhaken

Anstelle benannter Hosts verwenden Sie die IP-Adresse für den VHOST-Eintrag :443

SSL-Sitzungen zwischenspeichern

  • SSLSessionCache shmcb:/run/httpd/sslcache(512000)
  • SSLSessionCacheTimeout 300

Erlauben fürschnellere SSL-Protokollbestellung, allgemeine Kompatibilität, mittlere Sicherheit:

  • SSL-Protokoll alle -SSLv3
  • SSLCipherSuite ALLE:+HOCH:+TLSv1:!ADH:!EXP:!SSLv2:!MITTEL:!NIEDRIG:!NULL:!aNULL
  • SSLHonorCipherBestellen bei

OCSP-Stapling (beschleunigt SSL)

  • SSLUseStapling auf
  • SSLStaplingResponderTimeout 5
  • SSLStaplingReturnResponderErrors aus
  • SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (kann vorab laden, sodass http://-Anfragen im Browser zu https://-Anfragen werden)

  • Header immer auf Strict-Transport-Security setzen "max-age=63072000; includeSubdomains; preload"

Zum Vorladen hier einreichen:https://hstspreload.appspot.com/

Ziehen Sie die folgenden fortgeschritteneren Implementierungen in Betracht:

  • HTTP/2 mit HPACK
  • Brotli-Komprimierung

Andere Nicht-SSL-Probleme, die zur Beschleunigung der Verbindung beitragen können

Eine weitere Direktive für Apache in httpd.conf

  • HostnameLookups Aus

Antwort2

Verwenden Sie StartCom nicht.

Verwenden Sie stattdessen Let’s Encrypt mit der --apacheAutokonfigurationsoption.

Es werden Ihnen alle Fragen benutzerfreundlich gestellt und Sie können Ihre Apache-Konfiguration nach der Einrichtung von Let’s Encrypt SSL vollständig anpassen.

Das Problem wird also gelöst, indem StartCom SSL gelöscht und Apache mit Let’s Encrypt automatisch konfiguriert wird.

Ich weiß nicht genau, was hier das ursprüngliche Problem ist, aber Let’s Encrypt scheint besser optimiert zu sein.

verwandte Informationen