NGINX配置HTTPS性能优化方案一则:

    1)HSTS的合理使用

    2)会话恢复的合理使用

    3)Ocsp stapling的合理使用

    4)TLS协议的合理配置

    5)False Start的合理使用

    6)SNI功能的合理使用,

    7)HTTP 2.0的合理使用(Nginx在1.9.x版本就开始支持http2协议)

    8)SSL硬件加速卡合理使用

以下是一个nginx优化https的配置模板:

server {

    # 把ssl on;这行去掉,ssl写在443端口后面。这样http和https的链接都可以用

    listen 443 ssl http2 default_server;

    server_name  site.xxx.com;

    # HSTS的合理使用,max-age表明HSTS在浏览器中的缓存时间,includeSubdomainscam参数指定应该在所有子域上启用HSTS,preload参数表示预加载,通过Strict-Transport-Security: max-age=0将缓存设置为0可以撤销HSTS

    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

    ssl_certificate /usr/local/nginx/cert/server.pem;

    ssl_certificate_key /usr/local/nginx/cert/server.key;  

    # 分配10MB的共享内存缓存,不同工作进程共享TLS会话信息

    ssl_session_cache shared:SSL:10m;

    # 设置会话缓存过期时间24h

    ssl_session_timeout 1440m;

    # TLS协议的合理配置

    # 指定TLS协议的版本,不安全的SSL2和SSL3要废弃掉

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    # 启用ssl_prefer_server_ciphers,用来告诉Nginx在TLS握手时启用服务器算法优先,由服务器选择适配算法而不是客户端

    ssl_prefer_server_ciphers on;

    # 优先选择支持前向加密的算法,且按照性能的优先顺序排列

    ssl_ciphers ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 AES128-SHA AES256-SHA DES-CBC3-SHA !DSS";

    # 会话恢复的合理使用

    # 配置会话票证,减少了TLS握手的开销

    ssl_session_tickets on;

    # 生产key的命令通过openssl生成:openssl rand –out session_ticket.key 48

    ssl_session_ticket_key /usr/local/nginx/ssl_cert/session_ticket.key;

    #设置TLS日志格式

    log_format ssl "$time_local $server_name $remote_addr $connection $connnection_requests $ssl_protocol $ssl_cipher $ssl_session_id $ssl_session_reused";

    access_log /usr/local/nginx/logs/access.log ssl;

    # Ocsp stapling的合理使用

    # 启用OCSP stapling,指定更新文件内容,无需从服务商拉取

    ssl_stapling on;

    ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;

    # 或者不指定更新文件内容,在线获取,valid表示缓存5分钟,resolver_timeout表示网络超时时间

    #resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;

    #resolver_timeout 5s;

    # 启用OCSP响应验证,OCSP信息响应适用的证书

    ssl_stapling_verify on;

    ssl_trusted_certificate /usr/local/nginx/ssl_cert/trustchain.crt;      

    root   html;

    index  index.html index.htm;

    location / {

        ...

    }

    error_page 403 /403.html;

    location = /403.html {

        root /usr/local/nginx/waf/403/default;

    }

    error_page 500 502 503 504 /502.html;

    location = /502.html {

        root /usr/local/nginx/waf/403/default;

    }

}

  

参考链接:http://blog.csdn.net/zhuyiquan/article/details/71430020

[记录]NGINX配置HTTPS性能优化方案一则的更多相关文章

  1. 基于 Nginx 的 HTTPS 性能优化

    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...

  2. 基于 Nginx 的 HTTPS 性能优化实践

    前言 分享一个卓见云的较多客户遇到HTTPS优化案例. 随着相关浏览器对HTTP协议的“不安全”.红色页面警告等严格措施的出台,以及向 iOS 应用的 ATS 要求和微信.支付宝小程序强制 HTTPS ...

  3. Redmine性能优化方案

    近来公司redmine服务器表现很糟糕,在16核,64GRAM的机器上,压测结果竟然只有每秒5~7个请求,部分页面一个都出不来. 以下是我对Redmine性能优化方案: redmine服务器性能问题排 ...

  4. GNU Linux高并发性能优化方案

    /*********************************************************** * Author : Samson * Date : 07/14/2015 * ...

  5. Tomcat 配置详解/优化方案

     转自:http://blog.csdn.net/cicada688/article/details/14451541 Service.xml Server.xml配置文件用于对整个容器进行相关的配置 ...

  6. mysql 性能优化方案

    网 上有不少MySQL 性能优化方案,不过,mysql的优化同sql server相比,更为麻烦与复杂,同样的设置,在不同的环境下 ,由于内存,访问量,读写频率,数据差异等等情况,可能会出现不同的结果 ...

  7. tomcat配置详解/优化方案

    Service.xml Server.xml配置文件用于对整个容器进行相关的配置. <Server>元素:是整个配置文件的根元素.表示整个Catalina容器. 属性:className: ...

  8. mysql 性能优化方案1

    网 上有不少mysql 性能优化方案,不过,mysql的优化同sql server相比,更为麻烦与复杂,同样的设置,在不同的环境下 ,由于内存,访问量,读写频率,数据差异等等情况,可能会出现不同的结果 ...

  9. mysql 性能优化方案 (转)

    网 上有不少mysql 性能优化方案,不过,mysql的优化同sql server相比,更为麻烦与复杂,同样的设置,在不同的环境下 ,由于内存,访问量,读写频率,数据差异等等情况,可能会出现不同的结果 ...

随机推荐

  1. 微信小程序把玩(二十二)action-sheet组件

    原文:微信小程序把玩(二十二)action-sheet组件 action-sheet组件是从底部弹出可选菜单项,估计也是借鉴IOS的设计添加的,action-sheet有两个子组件, action-s ...

  2. UWP开发学习笔记2

    RelativePanel控件: 用法 描述 RelativePanel.Above 设置当前element为目标element的上方 RelativePanel.AlignBottomWith 设置 ...

  3. 类选择器和所作用的标签一起写为什么不起作用? - CSDN博客

    原文:类选择器和所作用的标签一起写为什么不起作用? - CSDN博客 HTML代码: css样式: 这不是将样式作用于circle类下的有current类的li标签吗?为什么不起作用? 原因: 选择器 ...

  4. qtchooser - a wrapper used to select between Qt development binary(2种方法)

    ---------------------------------------------------------------------------------------------------- ...

  5. QT中的SOCKET编程

    转自:http://mylovejsj.blog.163.com/blog/static/38673975200892010842865/ QT中的SOCKET编程 2008-10-07 23:13 ...

  6. SpringCloud微服务架构升级总结

    一.背景 1.1 应用系统的架构历史 1.2 什么是微服务? 起源:微服务的概念源于 2014 年 3 月 Martin Fowler 所写的一篇文章“Microservices”.文中内容提到:微服 ...

  7. ECMAScript6 语法

    声明变量 var let const var(声明局部变量,有局部外可用缺陷) 代码 <!DOCTYPE html> <html lang="en"> &l ...

  8. QSqlRelationalTableModel的Select语句会改变列的名字

    不解释QSqlRelationalTableModel是什么东西.看以下代码: //3.1 创建model model = new QSqlRelationalTableModel(); model- ...

  9. Django ORM基础篇【转载】

    ORM( Object relational mapping 对象关系映射)D:把面向对象中的类和数据库表一一对应起来,在django项目与数据库之间起着桥梁的                     ...

  10. centos 5.5版本中添加ext4格式

    1.我在使用centos 5.5版本做练习的时候发现默认是不支持ext4文件格式. 在添加硬盘后,用fdisk -l 查看到信息如下: 分区完后,使用命令:mkfs -t ext4 /dev/sdb会 ...