<div dir="ltr"><div dir="ltr"><div dir="ltr">Максим, спасибо за ответ!<div><br></div><div>Сертификат действительно от LetsEncrypt,</div><div>отключение <span style="color:rgb(0,0,0);font-family:Menlo;font-size:11px">ssl_dhparam </span>не помогло, на подобном сервере тоже с LetsEncrypt тем же curl:</div><div><span style="color:rgb(0,0,0);font-family:Menlo;font-size:11px">time_connect: 0.010</span></div><div><br></div><div>Подскажите куда можно еще глянуть?</div><div>Могу прислать debug или strace или что еще...</div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 28, 2018 at 7:07 PM Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
On Wed, Nov 28, 2018 at 06:20:12PM +0200, Vladimir Getmanshchuk wrote:<br>
<br>
> Странная ситуация с SSL - жуткий лаг на отдаче:<br>
> <br>
> <br>
> # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X<br>
> GET -s -q <a href="http://1.1.1.1/google663dfea033864f54.html" rel="noreferrer" target="_blank">http://1.1.1.1/google663dfea033864f54.html</a> -o /dev/null<br>
> <br>
> time_connect: 0.000<br>
> <br>
> time_total: 0.001<br>
> <br>
> <br>
> # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X<br>
> GET -s -q <a href="https://1.1.1.1/google663dfea033864f54.html" rel="noreferrer" target="_blank">https://1.1.1.1/google663dfea033864f54.html</a> --insecure -o<br>
> /dev/null<br>
> <br>
> time_connect: 0.000<br>
> <br>
> time_total: *0.106*<br>
<br>
В SSL есть операция SSL handshake, и в зависимости от используемых <br>
шифров и сертификатов - она может занимать как просто много <br>
времени, так и очень много времени. (Ну и поскольку curl между <br>
запусками не может сохранять ранее установленную сессию - каждый <br>
запуск будет требовать полного handshake'а.)<br>
<br>
В частности, если вдруг используется обмен ключами с помощью <br>
алгоритма Диффи-Хеллмана - будет тормозить. Особенно если задать <br>
параметры где-нибудь на 4096 бит. Смотрите внимательно, что <br>
именно за шифры у вас используются, и если DHE - то что именно у <br>
вас лежит в ssl_dhparam. Ну или просто уберите ssl_dhparam из <br>
конфига - по умолчанию nginx просто не будет использовать DHE.<br>
<br>
Кроме того, будет тормозить, если используются RSA-сертификаты <br>
больше 2048 бит. Смотрите, что за сертификат используется. <br>
RSA-сертификаты на 4096 бит - зачастую по умолчанию прилетают из <br>
модных и молодёжных инструментов получения сертификатов от <br>
LetsEncrypt, но малопригодны для работы web-сервера.<br>
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Yours sincerely,<br>Vladimir Getmanshchuk</div>