Как ускорить установление SSL-соединения?

Question 1

Есть несколько областей для улучшения SSL-соединения (и общей задержки SSL-трафика). Некоторые из них могут повлиять на безопасность в той или иной степени.

(Это для ssl.conf с использованием Apache)

Отключить поиск домена и разрешить Non-SNI достигать основного домена

SSLStrictSNIVHostОтметить выключенным

Вместо именованных хостов используйте IP-адрес для записи :443 VHOST

Кэшировать сеансы SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Разрешить дляболее быстрый порядок протокола SSL, общая совместимость, средняя безопасность:

SSLПротокол все -SSLv3
SSLCipherSuite ВСЕ:+HIGH:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIUM:!LOW:!NULL:!aNULL
SSLHonorCipherOrder на

Сшивание OCSP (ускоряет SSL)

SSLИспользованиеСшивание на
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors выключен
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (может выполнять предварительную загрузку, чтобы запросы http:// становились запросами https:// в браузере)

Заголовок всегда установлен Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Подать заявку на предварительную загрузку можно здесь:https://hstspreload.appspot.com/

Рассмотрим следующие более продвинутые реализации:

HTTP/2 с HPACK
Сжатие Бротли

Другие проблемы, не связанные с SSL, которые могут помочь ускорить соединение

Еще одна директива для Apache в httpd.conf

HostnameLookups выключен

Answer

Есть несколько областей для улучшения SSL-соединения (и общей задержки SSL-трафика). Некоторые из них могут повлиять на безопасность в той или иной степени.

(Это для ssl.conf с использованием Apache)

Отключить поиск домена и разрешить Non-SNI достигать основного домена

SSLStrictSNIVHostОтметить выключенным

Вместо именованных хостов используйте IP-адрес для записи :443 VHOST

Кэшировать сеансы SSL

SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300

Разрешить дляболее быстрый порядок протокола SSL, общая совместимость, средняя безопасность:

SSLПротокол все -SSLv3
SSLCipherSuite ВСЕ:+HIGH:+TLSv1:!ADH:!EXP:!SSLv2:!MEDIUM:!LOW:!NULL:!aNULL
SSLHonorCipherOrder на

Сшивание OCSP (ускоряет SSL)

SSLИспользованиеСшивание на
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors выключен
SSLStaplingCache shmcb:/run/ocsp(128000)

HSTS (может выполнять предварительную загрузку, чтобы запросы http:// становились запросами https:// в браузере)

Заголовок всегда установлен Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Подать заявку на предварительную загрузку можно здесь:https://hstspreload.appspot.com/

Рассмотрим следующие более продвинутые реализации:

HTTP/2 с HPACK
Сжатие Бротли

Другие проблемы, не связанные с SSL, которые могут помочь ускорить соединение

Еще одна директива для Apache в httpd.conf

HostnameLookups выключен

Question 2

Не используйте StartCom.

Вместо этого используйте Let's Encrypt с --apacheопцией автонастройки.

Он запросит у вас все необходимые данные в удобном для пользователя формате, и вы сможете полностью настроить конфигурацию Apache после настройки SSL Let's Encrypt.

Итак, проблема решается удалением StartCom SSL и автоматической настройкой Apache с Let's Encrypt.

Я не знаю, в чем изначальная проблема, но Let's Encrypt, похоже, оптимизирован лучше.

Answer

Не используйте StartCom.

Вместо этого используйте Let's Encrypt с --apacheопцией автонастройки.

Он запросит у вас все необходимые данные в удобном для пользователя формате, и вы сможете полностью настроить конфигурацию Apache после настройки SSL Let's Encrypt.

Итак, проблема решается удалением StartCom SSL и автоматической настройкой Apache с Let's Encrypt.

Я не знаю, в чем изначальная проблема, но Let's Encrypt, похоже, оптимизирован лучше.

Как ускорить установление SSL-соединения?

решение1

решение2

Связанный контент