Como acelerar o estabelecimento de uma conexão SSL?

Question 1

Existem várias áreas para melhorar a conexão SSL (e a latência geral do tráfego SSL). Alguns deles podem impactar a segurança de uma forma pequena ou grande.

(Estes são para ssl.conf usando Apache)

Desative a pesquisa de domínio e permita que não-SNI alcancem o domínio primário

SSLStrictSNIVHostCheck off

Em vez de hosts nomeados, use o endereço IP para a entrada :443 VHOST

Cache de sessões SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Permitido parapedido de protocolo SSL mais rápido, compatibilidade geral, segurança média:

Protocolo SSL tudo -SSLv3
SSLCipherSuite ALL:+HIGH:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIUM:!LOW:!NULL:!aNULL
SSLHonorCipherOrder em

Grampeamento OCSP (acelera SSL)

SSLUseAgrafamento ativado
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors desativado
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (pode fazer pré-carregamento para que solicitações http:// se tornem solicitações https:// no navegador

O cabeçalho sempre define Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Envie para pré-carregamento aqui:https://hstspreload.appspot.com/

Considere as seguintes implementações mais avançadas:

HTTP/2 com HPACK
Compressão Brotli

Outros problemas não-SSL que podem ajudar a acelerar a conexão

Outra diretiva para Apache em httpd.conf

Pesquisas de nome de host desativadas

Answer

Existem várias áreas para melhorar a conexão SSL (e a latência geral do tráfego SSL). Alguns deles podem impactar a segurança de uma forma pequena ou grande.

(Estes são para ssl.conf usando Apache)

Desative a pesquisa de domínio e permita que não-SNI alcancem o domínio primário

SSLStrictSNIVHostCheck off

Em vez de hosts nomeados, use o endereço IP para a entrada :443 VHOST

Cache de sessões SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Permitido parapedido de protocolo SSL mais rápido, compatibilidade geral, segurança média:

Protocolo SSL tudo -SSLv3
SSLCipherSuite ALL:+HIGH:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIUM:!LOW:!NULL:!aNULL
SSLHonorCipherOrder em

Grampeamento OCSP (acelera SSL)

SSLUseAgrafamento ativado
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors desativado
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (pode fazer pré-carregamento para que solicitações http:// se tornem solicitações https:// no navegador

O cabeçalho sempre define Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Envie para pré-carregamento aqui:https://hstspreload.appspot.com/

Considere as seguintes implementações mais avançadas:

HTTP/2 com HPACK
Compressão Brotli

Outros problemas não-SSL que podem ajudar a acelerar a conexão

Outra diretiva para Apache em httpd.conf

Pesquisas de nome de host desativadas

Question 2

Não use StartCom.

Em vez disso, use Let's Encrypt, com a --apacheopção autoconfig.

Ele solicitará tudo de maneira amigável e você poderá personalizar totalmente sua configuração do Apache após configurar o Let's Encrypt SSL.

Portanto, o problema é resolvido excluindo o StartCom SSL e configurando automaticamente o apache com Let's Encrypt.

Eu realmente não sei qual é o problema inicial aqui, mas o Let's Encrypt parece estar melhor otimizado.

Answer

Não use StartCom.

Em vez disso, use Let's Encrypt, com a --apacheopção autoconfig.

Ele solicitará tudo de maneira amigável e você poderá personalizar totalmente sua configuração do Apache após configurar o Let's Encrypt SSL.

Portanto, o problema é resolvido excluindo o StartCom SSL e configurando automaticamente o apache com Let's Encrypt.

Eu realmente não sei qual é o problema inicial aqui, mas o Let's Encrypt parece estar melhor otimizado.

Como acelerar o estabelecimento de uma conexão SSL?

Responder1

Responder2

informação relacionada