1. 开启 HTTP/2
HTTP/2最初是在Nginx版本1.9.5中实现的,以取代spdy。在Nginx上启用HTTP/2模块很简单。
listen 443 ssl http2;
可以通过curl来验证:
curl --http2 -I https://ip:port/
2. 开启 SSL session 缓存
启用 SSL Session 缓存可以减少 TLS 的反复验证,减少 TLS 握手。 1M 的内存可以缓存 4000 个连接
ssl_session_cache shared:SSL:50m; # 1m 4000个,
ssl_session_timeout 1h; # 1小时过期
3. 禁用 SSL session tickets
ssl_session_tickets off;
4. 禁用 TLS version 1.0
ssl_protocols TLSv1.2 TLSv1.3;
5. 启用OCSP Stapling
如果不启用 OCSP Stapling 的话,在用户连接你的服务器的时候,需要去验证证书,这个验证证书的时间不可控
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/full_chain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
6. 减小ssl buffer size
ssl_buffer_size 控制在发送数据时的 buffer 大小,默认情况下,缓冲区设置为16k,为了最大程度地减少TTFB(至第一个字节的时间),最好使用较小的值,这样TTFB可以节省大约30 – 50ms。
ssl_buffer_size 4k;
7. 调整 Cipher 优先级
更新更快的 Cipher放前面,这样延迟更小。
# 手动启用 cipher 列表
ssl_prefer_server_ciphers on; # prefer a list of ciphers to prevent old and slow ciphers
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
评论区