
<div dir="ltr"><div dir="ltr"><div dir="ltr">Максим, спасибо за ответ!<div><br></div><div>Сертификат действительно от LetsEncrypt,</div><div>отключение <span style="color:rgb(0,0,0);font-family:Menlo;font-size:11px">ssl_dhparam </span>не помогло, на подобном сервере тоже с LetsEncrypt тем же curl:</div><div><span style="color:rgb(0,0,0);font-family:Menlo;font-size:11px">time_connect: 0.010</span></div><div><br></div><div>Подскажите куда можно еще глянуть?</div><div>Могу прислать debug или strace или что еще...</div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 28, 2018 at 7:07 PM Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>


<br>


On Wed, Nov 28, 2018 at 06:20:12PM +0200, Vladimir Getmanshchuk wrote:<br>


<br>


> Странная ситуация с SSL - жуткий лаг на отдаче:<br>


> <br>


> <br>


> # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X<br>


> GET -s -q <a href="http://1.1.1.1/google663dfea033864f54.html" rel="noreferrer" target="_blank">http://1.1.1.1/google663dfea033864f54.html</a> -o /dev/null<br>


> <br>


> time_connect: 0.000<br>


> <br>


> time_total: 0.001<br>


> <br>


> <br>


> # curl -w "time_connect: %{time_connect}\ntime_total: %{time_total}\n" -X<br>


> GET -s -q <a href="https://1.1.1.1/google663dfea033864f54.html" rel="noreferrer" target="_blank">https://1.1.1.1/google663dfea033864f54.html</a> --insecure -o<br>


> /dev/null<br>


> <br>


> time_connect: 0.000<br>


> <br>


> time_total: *0.106*<br>


<br>


В SSL есть операция SSL handshake, и в зависимости от используемых <br>


шифров и сертификатов - она может занимать как просто много <br>


времени, так и очень много времени.  (Ну и поскольку curl между <br>


запусками не может сохранять ранее установленную сессию - каждый <br>


запуск будет требовать полного handshake'а.)<br>


<br>


В частности, если вдруг используется обмен ключами с помощью <br>


алгоритма Диффи-Хеллмана - будет тормозить.  Особенно если задать <br>


параметры где-нибудь на 4096 бит.  Смотрите внимательно, что <br>


именно за шифры у вас используются, и если DHE - то что именно у <br>


вас лежит в ssl_dhparam.  Ну или просто уберите ssl_dhparam из <br>


конфига - по умолчанию nginx просто не будет использовать DHE.<br>


<br>


Кроме того, будет тормозить, если используются RSA-сертификаты <br>


больше 2048 бит.  Смотрите, что за сертификат используется.  <br>


RSA-сертификаты на 4096 бит - зачастую по умолчанию прилетают из <br>


модных и молодёжных инструментов получения сертификатов от <br>


LetsEncrypt, но малопригодны для работы web-сервера.<br>


<br>


-- <br>


Maxim Dounin<br>


<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Yours sincerely,<br>Vladimir Getmanshchuk</div>