¿Cómo acelerar el establecimiento de una conexión SSL?

Question 1

Hay varias áreas para mejorar la conexión SSL (y la latencia general del tráfico SSL). Algunos de estos pueden afectar la seguridad de alguna manera, pequeña o grande.

(Estos son para ssl.conf usando Apache)

Deshabilite la búsqueda de dominio y permita que Non-SNI llegue al dominio principal

SSLStrictSNIVHostCheck off

En lugar de hosts con nombre, utilice la dirección IP para la entrada :443 VHOST

Caché de sesiones SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Tener en cuentapedido de protocolo SSL más rápido, compatibilidad general, seguridad media:

Protocolo SSL todo -SSLv3
SSLCipherSuite TODO:+ALTO:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIO:!BAJO:!NULL:!aNULL
SSLHonorCipherOrden en

Grapado OCSP (acelera SSL)

SSLUseGrapado en
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors desactivado
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (puede realizar una precarga para que las solicitudes http:// se conviertan en solicitudes https:// en el navegador

El encabezado siempre establece Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Envíe para precarga aquí:https://hstspreload.appspot.com/

Considere las siguientes implementaciones más avanzadas:

HTTP/2 con HPACK
Compresión Brotli

Otros problemas no relacionados con SSL que pueden ayudar a acelerar la conexión

Otra directiva para Apache en httpd.conf

Búsquedas de nombre de host desactivadas

Answer

Hay varias áreas para mejorar la conexión SSL (y la latencia general del tráfico SSL). Algunos de estos pueden afectar la seguridad de alguna manera, pequeña o grande.

(Estos son para ssl.conf usando Apache)

Deshabilite la búsqueda de dominio y permita que Non-SNI llegue al dominio principal

SSLStrictSNIVHostCheck off

En lugar de hosts con nombre, utilice la dirección IP para la entrada :443 VHOST

Caché de sesiones SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Tener en cuentapedido de protocolo SSL más rápido, compatibilidad general, seguridad media:

Protocolo SSL todo -SSLv3
SSLCipherSuite TODO:+ALTO:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIO:!BAJO:!NULL:!aNULL
SSLHonorCipherOrden en

Grapado OCSP (acelera SSL)

SSLUseGrapado en
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors desactivado
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (puede realizar una precarga para que las solicitudes http:// se conviertan en solicitudes https:// en el navegador

El encabezado siempre establece Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Envíe para precarga aquí:https://hstspreload.appspot.com/

Considere las siguientes implementaciones más avanzadas:

HTTP/2 con HPACK
Compresión Brotli

Otros problemas no relacionados con SSL que pueden ayudar a acelerar la conexión

Otra directiva para Apache en httpd.conf

Búsquedas de nombre de host desactivadas

Question 2

No utilice StartCom.

En su lugar, utilice Let's Encrypt, con la --apacheopción de configuración automática.

Le preguntará todo lo que sea fácil de usar y podrá personalizar completamente su configuración de Apache después de configurar Let's Encrypt SSL.

Entonces, el problema se resuelve eliminando StartCom SSL y configurando automáticamente Apache con Let's Encrypt.

Realmente no sé cuál es el problema inicial aquí, pero Let's Encrypt parece estar mejor optimizado.

Answer

No utilice StartCom.

En su lugar, utilice Let's Encrypt, con la --apacheopción de configuración automática.

Le preguntará todo lo que sea fácil de usar y podrá personalizar completamente su configuración de Apache después de configurar Let's Encrypt SSL.

Entonces, el problema se resuelve eliminando StartCom SSL y configurando automáticamente Apache con Let's Encrypt.

Realmente no sé cuál es el problema inicial aquí, pero Let's Encrypt parece estar mejor optimizado.

¿Cómo acelerar el establecimiento de una conexión SSL?

Respuesta1

Respuesta2

información relacionada