
<div dir="ltr"><div>так срисуйте tcpdump/wireshark</div><div>оно же с раскладкой по времени все пакеты покажет</div><div><br></div><div>(в случае https прекрасно видна стадия установки соединения)<br></div></div><br><div class="gmail_quote"><div dir="ltr">чт, 29 нояб. 2018 г. в 15:44, Vladimir Getmanshchuk <<a href="mailto:vladget@gmail.com">vladget@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Очень похоже это какой-то глюк curl(запускаю с той же машины), </div><div dir="ltr">я тут случайно сделал time wget <a href="https://server/object" target="_blank">https://server/object</a>, и вот что получил:<div><div><br></div><div>WGET</div><div>real  0m0.004s (http)</div><div>real  0m0.012s (https)</div><div>CURL </div><div>real  0m0.012s (http)</div><div>real  0m0.139s (https)</div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 28, 2018 at 9:09 PM Maxim Dounin <<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>


<br>


On Wed, Nov 28, 2018 at 07:48:54PM +0200, Vladimir Getmanshchuk wrote:<br>


<br>


> Максим, спасибо за ответ!<br>


> <br>


> Сертификат действительно от LetsEncrypt,<br>


> отключение ssl_dhparam не помогло, на подобном сервере тоже с LetsEncrypt<br>


> тем же curl:<br>


> time_connect: 0.010<br>


<br>


Время time_connect - это время установления TCP-соединения, и в <br>


контексте исходного вопроса не интересно совершенно, в обоих <br>


приведённых в исходном письме примерах оно просто 0.  Сравнивать <br>


имеет смысл time_total.<br>


<br>


> Подскажите куда можно еще глянуть?<br>


> Могу прислать debug или strace или что еще...<br>


<br>


Для начала - как уже было предложено, глянуть в сертификат <br>


("openssl x509 -text -noout -in /path/to/cert.pem") и посмотреть, <br>


какой алгоритм используется и сколько бит ключ.  Если RSA и больше <br>


2048 бит - поменять на 2048 бит или ECDSA.<br>


<br>


Если не поможет - имеет смысл снять дамп трафика с помощью <br>


tcpdump'а и посмотреть, где именно тратится время.  Возможно, <br>


из-за чего-то вылезают сетевые проблемы, или проблема вообще на <br>


стороне клиента.<br>


<br>


-- <br>


Maxim Dounin<br>


<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="m_2907686427112645309gmail_signature" data-smartmail="gmail_signature">Yours sincerely,<br>Vladimir Getmanshchuk</div>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div>