【发布时间】:2015-05-24 21:16:05
【问题描述】:
同事们!
嗯,我对 SSL 身份验证的速度有很大的疑问。由于我将网站移至 SSL,GoogleBot 减少了我网站的索引,因为 SSL 协商的值低于我从 WebPageTest.org 获得的值:
网址:https://www.musiconline.com.br/jorge-e-mateus/alcapao/
主办方:www.musiconline.com.br
错误/状态代码:200
客户端端口:0
开始偏移:0.735 秒
DNS 查找:34 毫秒
初始连接:170 毫秒
SSL 协商:531 毫秒
到第一个字节的时间:311 毫秒
内容下载:178 毫秒
字节输入(下载):13.2 KB
字节输出(已上传):0.4 KB
看,“SSL 协商”是 531 毫秒,一个很大的值。
有人知道我该如何解决这个问题吗?
我验证了 mod_spdy,但是我无法安装,因为在我的 Linux CentOS 6、Apache 2.4 中出现以下消息:
root@server1 [/home/login/src]# rpm -U mod-spdy-*.rpm
警告:mod-spdy-beta_current_x86_64.rpm:标头 V4 DSA/SHA1 签名,密钥 ID 7fac5991:NOKEY
错误:依赖失败:
httpd >= 2.2.4 is needed by mod-spdy-beta-0.9.4.3-420.x86_64
mod_ssl >= 2.2 is needed by mod-spdy-beta-0.9.4.3-420.x86_64
root@server1 [/home/login/src]# httpd -v
服务器版本:Apache/2.4.12 (Unix)
服务器搭建:2015 年 3 月 21 日 10:58:04
Cpanel::Easy::Apache v3.28.4 rev9999
root@server1 [/home/molbr/src]# uname -a
Linux server1.musiconline.com.br 2.6.32-431.20.3.el6.x86_64 #1 SMP Thu Jun 19 21:14:45 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
感谢您的帮助。
【问题讨论】:
-
这个问题似乎离题了,因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User、Web Apps Stack Exchange、Webmaster Stack Exchange 或Unix & Linux Stack Exchange 会是一个更好的提问地点。
-
另见Do the ChaCha: better mobile performance with cryptography 获取补丁。根据Speeding up and strengthening HTTPS connections for Chrome on Android,密码套件比 AES/GCM 快 2 到 4 倍。遗憾的是,它仍然在 OpenSSL 中不可用(请参阅ChaCha20/Poly1305 in OpenSSL?)。
-
@jww:因为性能问题是在 SSL 握手期间,所以选择哪种对称密码并不重要。
-
@Steffen - 同意密钥协议/交换通常是一个痛点。但我不清楚这是主导[感知]性能问题,因为这个问题几乎没有细节。他还可以运行 64 位机器并使用
enable-ec_nistp_64_gcc_128配置 OpenSSL,因为它的 EC 速度快 2 到 4 倍。他还应该通过调用SSL_CTX_set_cipher_list来保持他的密码套件列表很小(这可以在ClientHello中节省一个额外的TCP 段)。他还可以通过仅使用 EC 调用SSL_CTX_set_cipher_list来确保服务器上的高性能密码...... -
@jww:在我看来问题出在my answer:(无用)太大的证书链导致与 TCP 缓慢启动的不良交互。
标签: openssl centos6 apache2.4 mod-ssl mod-spdy