<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p>Спасибо большое за ответ.<br>

      <br>

      Потестил  с параметрами:<br>

    </p>

    <pre class="moz-quote-pre" wrap="">ssl_session_tickets off;

ssl_session_ticket_key /etc/nginx/ssl/ticket.key;

</pre>

    <p>И довольно интересно получилось:<br>

      <a class="moz-txt-link-freetext" href="http://joxi.net/krD6q0jTKkV9R2.jpg">http://joxi.net/krD6q0jTKkV9R2.jpg</a><br>

      <br>

      На картинке числами отмечены reload'ы<br>

      1,2,6,7,10  - без настроек tickets (по умоланию включен)<br>

      3,4,5,8,9 - с отключенным tickets и файлом ssl_session_ticket_key.<br>

      <br>

      При этом всегда был включен кэш сессий:<br>

    </p>

    <pre>    ssl_session_cache   shared:SSL:20m;

    ssl_session_timeout 30m;

</pre>

    <p>Пока сделал вывод, что с отключенным ssl_session_tickets средняя

      нагрузка выше, но при этом при reload'e нагрузка не так сильно

      возрастает по отношению к средней. Тесты не совсем чистые,

      постараюсь сделать более чистый эксперимент.<br>

      <br>

      <br>

    </p>

    <div class="moz-cite-prefix">On 02/09/2019 16:55, Maxim Dounin

      wrote:<br>

    </div>

    <blockquote type="cite" cite="mid:20190902115535.GO1877@mdounin.ru">

      <pre class="moz-quote-pre" wrap="">Hello!

On Sat, Aug 31, 2019 at 12:54:06PM +0500, Dmitry Sergeev wrote:

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">Добрый день!

Спасибо за ответ.

Конфиг полный, просто сократил количетсво виртуальных хостов, так как они одинаковые.

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

В конфиге значилось:

    include /etc/nginx/conf.d/*.conf;

    include /etc/nginx/sites-enabled/*;

Так что понять по нему, полный он, или нет - не представляется 

возможным, отсюда и вопросы.

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">ssl_session_cache - действительно не настроено.

ssl_dhparam - аналогично.

сертификат один общий для всех, сгенерировал его для wildcard домена от let's encrypt (Signature Algorithm: sha256WithRSAEncryption, Public-Key: rsaEncryption (2048 bit)).

Пытался оптимизировать ssl и посмотреть влияние его настроек на эту проблему. В частности пробовал глобально добавлять опции:

*ssl_session_cache shared:SSL:20m;*

*ssl_session_timeout 30m; *вроде никак не влияло, но я проверю еще раз конечно, и более чательно.

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

Если большая часть клиентов использует тикеты - то может и не 

повлиять.  Для теста можно попробовать отключить тикеты 

(ssl_session_tickets) и/или настроить внешний ключ 

(ssl_session_ticket_key), так как автоматически сгенерированные 

ключи при reload'е обновляются.

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">Про ssl_dhparam не понял, с точки зрения производительности - 

его лучше добавлять но с небольшой битностью (2048 и меньше) или 

лучше совсем не использовать?

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

Лучше - не использовать.  Даже 2048 для классического 

Диффи-Хеллмана - это очень медленно.

</pre>

    </blockquote>

    <pre class="moz-signature" cols="72">-- 

Kind regards

Dmitry Sergeev

Tel: +7 (951) 129-75-72</pre>

  </body>

</html>