Apache2를 사용하여 Linux PC에 OpenSSL을 설정했습니다.
아니요, DNS 확인을 활성화하지 않았습니다. 로컬 컴퓨터에 인증서가 있습니다.
그래도 Chrome devtools에서는 다음과 같이 말합니다 Initial Connection took 1.64 s. 특정 시간이 지난 후 페이지를 새로 고칠 때 많은 대기 시간이 소요됩니다.
속도를 높이는 방법은 무엇입니까? 아니면 그렇게 되어야 합니까?
추신:저는 StartCom의 무료 SSL을 사용하고 있습니다.
답변1
SSL 연결(및 일반 SSL 트래픽 대기 시간)을 개선할 수 있는 여러 영역이 있습니다. 이들 중 일부는 작거나 큰 방식으로 보안에 영향을 미칠 수 있습니다.
(Apache를 사용하는 ssl.conf용입니다)
도메인 조회를 비활성화하고 비 SNI가 기본 도메인에 도달하도록 허용합니다.
- SSLStrictSNIVHost체크 해제
명명된 호스트 대신 :443 VHOST 항목에 IP 주소를 사용합니다.
캐시 SSL 세션
- SSLSessionCache shmcb:/run/httpd/sslcache(512000)
- SSLSessionCacheTimeout 300
허용하다더 빠른 SSL 프로토콜 순서, 일반 호환성, 중간 보안:
- SSL프로토콜 모두 -SSLv3
- SSLCipherSuite ALL:+HIGH:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIUM:!LOW:!NULL:!aNULL
- SSLHonorCipher주문
OCSP 스테이플링(SSL 속도 향상)
- SSLUse스테이플링 켜기
- SSLStappingResponderTimeout 5
- SSLStaplingReturnResponderErrors 꺼짐
- SSLStaplingCache shmcb:/run/ocsp(128000)
HSTS(미리 로드를 수행하여 http:// 요청이 브라우저에서 https:// 요청이 되도록 할 수 있음)
- 헤더는 항상 Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"를 설정합니다.
여기에서 사전 로드를 제출하세요.https://hstspreload.appspot.com/
다음과 같은 고급 구현을 고려해보세요.
- HPACK을 사용하는 HTTP/2
- 브로틀리 압축
연결 속도를 높이는 데 도움이 될 수 있는 기타 비SSL 문제
httpd.conf의 Apache에 대한 또 다른 지시문
- 호스트 이름 조회 끄기
답변2
StartCom을 사용하지 마십시오.
대신 --apacheautoconfig 옵션과 함께 Let's Encrypt를 사용하세요.
사용자 친화적인 모든 것을 묻고 Let's Encrypt SSL을 설정한 후 Apache 구성을 완전히 사용자 정의할 수 있습니다.
따라서 StartCom SSL을 삭제하고 Let's Encrypt를 사용하여 Apache를 자동 구성하면 문제가 해결됩니다.
여기서 초기 문제가 무엇인지 잘 모르겠지만 Let's Encrypt가 더 잘 최적화된 것 같습니다.