Evgeniy Asked: 2020-02-13 07:04:36 +0800 CST2020-02-13 07:04:36 +0800 CST 2020-02-13 07:04:36 +0800 CST 设置 HTTP/2、apache 和 Nginx 作为反向代理时的长 TTFB / SSL 协商 772 如标题所示,在将 HTTP/2、Apache 和 Nginx 设置为反向代理时,我意识到 SSL 协商导致的部分非常长的 TTFB 超过一秒。 什么可能是固定螺丝和最常见的原因?这里举个例子。 ps:找到了一个类似的问题,但是没有具体的推荐,哪里有解决问题的办法。 apache-2.2 ssl nginx http2 1 个回答 Voted Best Answer Barry Pollard 2020-02-13T14:34:11+08:002020-02-13T14:34:11+08:00 在限制您与 Fast-3G 的连接时,我不会说这实际上是那么长。 TLS 握手确实需要一些时间才能完成,因为它需要多次往返。我在这里的回答为您可以采取哪些措施来减少这种情况提供了一些指导。 此外,TLSv1.3 有一些性能改进,因此它可以在 1 次往返(甚至在某些情况下甚至 0 次往返)内完成握手。将于今年(或明年)推出的 HTTP/3 也基于 QUIC 而不是 TCP,并且具有一些连接设置性能改进。 获得此类技术改进的最简单方法是在您的站点前使用 CDN 来处理用户连接,然后他们可以将请求通过管道传回您的站点并在其边缘节点缓存内容。许多 CDN 已经支持 TLSv1.3,有些甚至支持 HTTP/3。它们也可能位于您的用户附近,因此往返时间 (RTT) 会更短,而且它们通常还具有高度优化的网络堆栈。 回到您的站点,我注意到的一件事是您正在使用扩展验证证书,并且需要对所有浏览器进行撤销检查(这是前两个请求,它们必须在与您的站点的握手完成之前完成)。这里有一篇很好的帖子:https ://nooshu.github.io/blog/2020/01/26/the-impact-of-ssl-certificate-revocation-on-web-performance/. 对于非 EV 证书,Chrome 不会进行吊销检查(而是依赖于定期上传的已吊销证书的下载列表),尽管我看到您使用 Firefox 进行了测试,目前它总是会对 EV 和非电动汽车。EV 证书已经失去了它们的用处,因为浏览器停止在 URL 栏上为它们提供额外的绿色,因此在下一次证书更新时恢复到标准 DV 或 OV 证书可能会更好,以获得 Chrome 的性能提升。 除了那些你的网站在 TLS 设置方面看起来不错的东西,虽然你仍然启用了一些旧的 TLS 设置,并且在浏览器中不应该优先使用它们来获得更安全的设置,除非你真的需要它们,否则你应该关闭它们用于支持无法使用新设置的旧浏览器。 此外,TCP 层可能存在一些调整,该测试未显示,但它们确实需要专业知识,因此除非您知道自己在做什么,否则建议不要使用它们。
在限制您与 Fast-3G 的连接时,我不会说这实际上是那么长。
TLS 握手确实需要一些时间才能完成,因为它需要多次往返。我在这里的回答为您可以采取哪些措施来减少这种情况提供了一些指导。
此外,TLSv1.3 有一些性能改进,因此它可以在 1 次往返(甚至在某些情况下甚至 0 次往返)内完成握手。将于今年(或明年)推出的 HTTP/3 也基于 QUIC 而不是 TCP,并且具有一些连接设置性能改进。
获得此类技术改进的最简单方法是在您的站点前使用 CDN 来处理用户连接,然后他们可以将请求通过管道传回您的站点并在其边缘节点缓存内容。许多 CDN 已经支持 TLSv1.3,有些甚至支持 HTTP/3。它们也可能位于您的用户附近,因此往返时间 (RTT) 会更短,而且它们通常还具有高度优化的网络堆栈。
回到您的站点,我注意到的一件事是您正在使用扩展验证证书,并且需要对所有浏览器进行撤销检查(这是前两个请求,它们必须在与您的站点的握手完成之前完成)。这里有一篇很好的帖子:https ://nooshu.github.io/blog/2020/01/26/the-impact-of-ssl-certificate-revocation-on-web-performance/. 对于非 EV 证书,Chrome 不会进行吊销检查(而是依赖于定期上传的已吊销证书的下载列表),尽管我看到您使用 Firefox 进行了测试,目前它总是会对 EV 和非电动汽车。EV 证书已经失去了它们的用处,因为浏览器停止在 URL 栏上为它们提供额外的绿色,因此在下一次证书更新时恢复到标准 DV 或 OV 证书可能会更好,以获得 Chrome 的性能提升。
除了那些你的网站在 TLS 设置方面看起来不错的东西,虽然你仍然启用了一些旧的 TLS 设置,并且在浏览器中不应该优先使用它们来获得更安全的设置,除非你真的需要它们,否则你应该关闭它们用于支持无法使用新设置的旧浏览器。
此外,TCP 层可能存在一些调整,该测试未显示,但它们确实需要专业知识,因此除非您知道自己在做什么,否则建议不要使用它们。